一、HTTP 和 HTTPS 介绍

HTTP（HyperText Transfer Protocol）是一种无状态的通信协议，通常用于在客户端（例如浏览器）和服务器之间传输超文本（如 HTML 页面）。但这仅仅是一个单向通信协议，数据传输过程中并未加密，所以它比较容易被中间人攻击。无状态，即不能保存每次提交的信息，如果用户发来一个新的请求，服务器无法知道它是否与上次请求有关联。

HTTPS（HyperText Transfer Protocol Secure），则是在 HTTP 的基础上增加了加密层，使用 SSL/TLS 协议来保护数据的传输。可以理解为 HTTP 的“高级版”，带有加密的护航，让数据在传输过程中更安全。

二、互联网消息如何传递

在互联网中，信息传递就像是一场复杂的邮递过程，消息需要通过一系列的“邮局”（即路由器），逐步从发送方传递到接收方。为了让这个过程更具逻辑性，我们可以将其比作寄送包裹的过程。

1、互联网通信的路径

1.访问某个网站

访问网站www.example.com。这个网址在互联网上并不是唯一的地址，它只是一个更易于记忆的字符串。真正定位到网站的地址，必须通过它的 IP 地址。这就好比你想找一个朋友的住址，但只知道他的名字，你需要通过电话簿（类似 DNS 解析）来查找他具体的住址（IP 地址）。

2.浏览器发送请求

在浏览器中输入网址后，浏览器会发起一个请求，这个请求会包含想要访问的信息。例如，HTTP 请求头中可能包含要访问的页面路径、浏览器类型、语言等信息。就像向邮局递交一个包裹，包裹里带着想要发送的内容（即请求信息）。

3.DNS 解析

由于 IP 地址很不好记忆，所以 DNS（域名系统）起到了将易记的域名（如www.example.com）转换为计算机能够理解的 IP 地址（如 192.168.1.1）的作用。这是通过向 DNS 服务器查询来实现的。

4.路由器的作用

拿到正确的 IP 地址后，消息会通过一系列路由器（路由器就像邮递员一样，负责在各个“邮局”之间传递包裹）逐步转发到目标服务器。每个路由器根据接收到的包裹信息，决定将包裹转发给哪个下一个路由器或最终目标。这些路由器会通过 MAC 地址来标识彼此，就像每个邮局都有一个地址和“邮递员”一样。

在这个过程中，MAC 地址是每台网络设备（如路由器、计算机等）唯一标识的地址。MAC 地址常常在局域网内起作用，而在互联网上，数据包会依赖 IP 地址进行转发。

例如，当你的包裹从一个路由器（网络节点）到达下一个节点时，包裹的 "收件人地址"（即 MAC 地址）会发生变化，每经过一个路由器，包裹的封面上的 “地址” 会更新为当前路由器的 MAC 地址，直到最终到达目标服务器。

5.目标服务器响应请求

当数据包最终到达目标服务器时，服务器会处理你的请求（例如返回一个网页、图片或文件）。服务器根据请求的信息，选择正确的数据进行返回。就像邮局在接收到包裹后，将其交给收件人。

6.响应回传

一旦目标服务器生成了响应，它会通过与请求时相同的路径，逆向发送回给浏览器。由于路由器和中间设备的作用，数据包在路由过程中仍然会更新其 MAC 地址和其它信息，但最终会正确到达浏览器，呈现出网页内容。

2、IP 地址和 MAC 地址的作用

1.IP 地址

是每个网络主机的唯一地址，主要用于寻址，让数据包能够找到目的地。你可以把 IP 地址看作“邮寄地址”，帮助路由器知道数据应该发往哪里。

2.MAC 地址

是硬件设备（如网卡）的一种物理地址，它在局域网内用于设备间的通信。可以理解为设备的“身份证”，每个设备都有一个独特的 MAC 地址。

3.DNS 解析

人们使用域名而不是 IP 地址，主要是因为域名更容易记忆。但计算机只能通过 IP 地址找到目标服务器，因此需要使用 DNS（域名解析系统）将域名转换成 IP 地址。

三、端口号

网卡中具有许多和网络通信的软件，数据帧到达网卡后，根据端口号来区别不同的软件或进程，端口后是用来确定数据目的程序的

四、HTTP协议

HTTP（Hypertext Transfer Protocol），即超文本传输协议，是一种无状态的请求-响应协议，用于客户端（通常是浏览器）和服务器之间的通信。它是互联网中最基础、最常用的协议之一。HTTP 协议在实现网页浏览时起着核心作用，它是浏览器和服务器之间交换数据的语言。

1、什么是超文本

“超文本”指的是网页上的内容，通常以 HTML（Hypertext Markup Language）格式呈现。HTML 是用来描述网页结构的标记语言，因此，HTTP 协议常常被用于传输 HTML 文件，当然它也传输其他格式的文件，如图片、视频、JSON 数据等。

2、HTTP请求和响应

HTTP 协议通过请求（Request）和响应（Response）进行数据交换。客户端向服务器发送请求，服务器处理请求后返回响应。

1.HTTP请求

客户端（如浏览器）向服务器发起请求。通常情况下，客户端不会主动向服务器发起请求，而是由用户触发的操作（例如点击链接、提交表单等）来生成请求。每个 HTTP 请求都由三个主要部分组成：

请求的组成

（1）请求行（Request Line）：

请求方法（GET、POST、PUT、DELETE 等）

请求目标（例如/index.html）

HTTP 版本（例如HTTP/1.1）

（2）请求头（Request Header）：

请求头包含了客户端的相关信息。常见的请求头如下：

Accept-Encoding：指定客户端能够接受的编码方式，例如 gzip, deflate，用来压缩响应内容。

Host：指定服务器的主机名，通常是网站的域名（如www.baidu.com）。

User-Agent：指定发起请求的浏览器类型，例如 Mozilla/5.0。

Cookie：客户端保存的 Cookie 信息，用于跟踪用户状态。

（3）请求正文（Request Body）：

请求正文包含实际请求的数据，通常用于 POST 或 PUT 请求，用于发送表单数据或文件。GET 请求一般没有请求正文。

GET /index.html HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0
Accept-Encoding: gzip, deflate, br

这段请求的含义是：客户端通过 GET 方法请求服务器上的/index.html 页面，使用 HTTP/1.1 协议，且告诉服务器浏览器类型是 Mozilla/5.0，支持 gzip, deflate, br 等压缩方式。

请求方式

GET：用于请求指定的资源，数据通过 URL 参数传递。适用于查询数据。

POST：用于向服务器提交数据。适用于提交表单、文件上传等操作。

PUT：用于更新指定资源，通常带有请求正文。

DELETE：用于删除指定资源。

GET请求

通过URL传递参数，URL与参数之间用?隔开，多个参数用&隔开，也是表单的默认提交方式

GET传送的数据量较小，主要是因为收到URL长度的限制

GET会将数据显示到URL当中，不安全

GET请求一般用于直接获取数据，提高查询速度。

GET是无副作用的，因此可以被缓存、书签和分享

POST请求

POST的数据在请求主体内，所以相对比较安全，但不是绝对安全

POST对上传数据的大小无限制，POST请求可以做文件的上传和下载。POST适用于增删改操作

2.HTTP响应

服务器接收到客户端的请求后，会根据请求的内容返回一个响应。HTTP 响应通常包含以下几个部分：

响应组成

（1）响应状态行（Response Status Line）：

HTTP 版本（如HTTP/1.1）

状态码（例如200 OK、404 Not Found、500 Internal Server Error等）

状态描述（简短的文字描述）

（2）响应头（Response Header）：

响应头包含了服务器和返回数据的一些元数据：

Content-Type：指定响应数据的类型，如 text/html, application/json。

Content-Length：响应内容的长度。

Set-Cookie：服务器设置的 Cookie，用于客户端保存状态。

（3）响应正文（Response Body）：

响应正文包含实际的响应数据，例如 HTML 文件、JSON 数据或图片等内容。

响应状态码

200 OK：请求成功，服务器成功返回数据。

400 Bad Request：请求有语法错误，服务器无法理解。

404 Not Found：请求的资源不存在。

405 Method Not Allowed：请求方法不被服务器支持。

500 Internal Server Error：服务器内部错误，无法处理请求。

502 Bad Gateway：服务器作为网关或代理，从上游服务器收到无效响应。

HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 1234
 

  
    
Welcome to Example!
  

在这个响应中，服务器告诉客户端，/index.html 页面已成功返回，并且响应的内容为 HTML 格式，长度为 1234 字节，包含了网页的内容。

五、HTTPS

为了解决 HTTP 协议的安全问题，引入了 HTTPS（安全超文本传输协议）。HTTPS 在 HTTP 的基础上加入了加密层，利用 SSL（安全套接字层）或 TLS（传输层安全协议）对数据进行加密。通过 HTTPS 协议，数据在传输过程中会被加密，这不仅保证了数据的机密性（防止数据被窃取），还确保了数据的完整性（防止数据在传输过程中被篡改）。

1、HTTPS的加密方式

1.对称加密

产生秘钥，加密解密使用同一个秘钥。对称加密速度快，但秘钥的安全性较低，若秘钥在传输过程中被窃取，攻击者就能轻易解密数据。

2.非对称加密

产生公钥和私钥，公钥加密的数据需要私钥解密，私钥加密的数据需要公钥解密。处理速度相对较慢，但是安全性较高。

2、HTTPS的加密过程

1.握手阶段：

客户端与服务器之间首先进行一系列的加密握手。客户端请求服务器时，服务器会返回一个数字证书，证书包含了公钥和服务器的身份信息。客户端通过验证证书的合法性来确认服务器的身份是否可信。

2.密钥交换：

在握手阶段，客户端和服务器会使用非对称加密来交换密钥。客户端用服务器的公钥加密生成的“会话秘钥”（对称秘钥），然后将加密后的会话秘钥发送给服务器。服务器用自己的私钥解密出会话秘钥。这样，客户端和服务器就建立了一个加密的通信通道，并可以使用会话秘钥进行后续的数据加密和解密。

3.数据加密传输阶段：

在后续的数据传输过程中，客户端和服务器会使用共享的对称秘钥进行加密与解密操作。由于对称加密的效率高，数据传输速度较快。

3、数字证书

为了防止第三方攻击者伪装成服务器进行钓鱼攻击，HTTPS 使用数字证书来验证服务器的身份。数字证书就像是一个网站的“身份证”，它由认证机构（CA）颁发，包含了服务器的公钥和身份信息。

证书组成

证书的持有者信息（如公司名称、网站域名等）

公钥

证书颁发机构（CA）的信息

证书的有效期

数字签名（确保证书的完整性，防止篡改

认证机构（CA）是经过各国政府认可的权威机构，它们负责签发和验证证书的合法性。客户端在访问 HTTPS 网站时，浏览器会验证证书的有效性，确保该证书由受信任的 CA 签发并且没有过期。

证书验证过程

当客户端访问 HTTPS 网站时，首先会收到服务器发送的数字证书。客户端会检查证书的有效性，向证书的发布机构（CA）确认证书是否合法。如果证书有效，客户端会提取公钥来加密生成的会话秘钥，并将加密后的秘钥发送给服务器。

六、Cookie和Session

1、Cookie

Cookie 是存储在客户端浏览器中的小文件，用于保存用户的状态信息。由于 HTTP 协议是无状态的，即每次请求都无法自动携带上次的状态信息，因此需要借助 Cookie 来维护状态。

1.Cookie特点

存储在客户端，容易被篡改或盗用。

可以设置过期时间。

每次请求都会随请求头一起发送，可能会影响请求性能。

2、Session

Session 是在服务器端保存的用户会话信息，每个客户端在访问服务器时，服务器会分配一个唯一的 session ID。这个 ID 通常存储在客户端的 Cookie 中，当客户端再次请求时，浏览器会自动带上这个 session ID，服务器通过 session ID 找到对应的会话信息。

1.Session特点

存储在服务器端，相对更加安全。

需要借助客户端的 Cookie 来维持会话。

不会暴露在客户端，防止被篡改。

3、Cookie和Session对比

七、总结HTTP和HTTPS