轉載文章:【面試必備】硬核!30 張圖解 HTTP 常見的面試題
一、HTTP基本概念
1.1 HTTP 是什麼?描述一下
HTTP 是超文本傳輸協議,也就是HyperText Transfer Protocol。
1.2 能否詳細解釋「超文本傳輸協議」?
HTTP的名字「超文本協議傳輸」,它可以拆成三個部分:
- 超文本
- HTTP 傳輸的內容是「超文本」。
- 「超文本」,是超越了普通文本的文本,它是文字、圖片、視頻等的混合體最關鍵有超鏈接,能從一個超文本跳轉到另外一個超文本。
- 傳輸
- HTTP 協議是一個雙向協議。
- 允許中間有中轉或接力。在 HTTP 裏,需要中間人遵從 HTTP 協議,只要不打擾基本的數據傳輸,就可以添加任意額外的東西。
- HTTP 是一個在計算機世界裏專門用來在兩點之間傳輸數據的約定和規範。
- 協議
- 協議的特點:「協」字,代表的意思是必須有兩個以上的參與者;「議」字,代表的意思是對參與者的一種行爲約定和規範
- HTTP 是一個用在計算機世界裏的協議。它使用計算機能夠理解的語言確立了一種計算機之間交流通信的規範(兩個以上的參與者),以及相關的各種控制和錯誤處理方式(行爲約定和規範)。
總之:HTTP 是一個在計算機世界裏專門在「兩點」之間「傳輸」文字、圖片、音頻、視頻等「超文本」數據的「約定和規範」。
1.3 那「HTTP 是用於從互聯網服務器傳輸超文本到本地瀏覽器的協議HTTP」 ,這種說法正確嗎?
這種說法是不正確的。因爲也可以是「服務器< – >服務器」,所以採用兩點之間的描述會更準確。
1.4 HTTP 常見的狀態碼,有哪些?
- 1xx
1xx 類狀態碼屬於提示信息,是協議處理中的一種中間狀態,實際用到的比較少。- 2xx
2xx 類狀態碼錶示服務器成功處理了客戶端的請求,也是我們最願意看到的狀態。
「200 OK」是最常見的成功狀態碼,表示一切正常。如果是非 HEAD 請求,服務器返回的響應頭都會有 body 數據。
「204 No Content」也是常見的成功狀態碼,與 200 OK 基本相同,但響應頭沒有 body 數據。
「206 Partial Content」是應用於 HTTP 分塊下載或斷電續傳,表示響應返回的 body 數據並不是資源的全部,而是其中的一部分,也是服務器處理成功的狀態。- 3xx
3xx 類狀態碼錶示客戶端請求的資源發生了變動,需要客戶端用新的 URL 重新發送請求獲取資源,也就是重定向。
「301 Moved Permanently」表示永久重定向,說明請求的資源已經不存在了,需改用新的 URL 再次訪問。
「302 Found」表示臨時重定向,說明請求的資源還在,但暫時需要用另一個 URL 來訪問。
301 和 302 都會在響應頭裏使用字段 Location,指明後續要跳轉的 URL,瀏覽器會自動重定向新的 URL。
「304 Not Modified」不具有跳轉的含義,表示資源未修改,重定向已存在的緩衝文件,也稱緩存重定向,用於緩存控制。- 4xx
4xx 類狀態碼錶示客戶端發送的報文有誤,服務器無法處理,也就是錯誤碼的含義。
「400 Bad Request」表示客戶端請求的報文有錯誤,但只是個籠統的錯誤。
「403 Forbidden」表示服務器禁止訪問資源,並不是客戶端的請求出錯。
「404 Not Found」表示請求的資源在服務器上不存在或未找到,所以無法提供給客戶端。- 5xx
5xx 類狀態碼錶示客戶端請求報文正確,但是服務器處理時內部發生了錯誤,屬於服務器端的錯誤碼。
「500 Internal Server Error」與 400 類型,是個籠統通用的錯誤碼,服務器發生了什麼錯誤,我們並不知道。
「501 Not Implemented」表示客戶端請求的功能還不支持,類似“即將開業,敬請期待”的意思。
「502 Bad Gateway」通常是服務器作爲網關或代理時返回的錯誤碼,表示服務器自身工作正常,訪問後端服務器發生了錯誤。
「503 Service Unavailable」表示服務器當前很忙,暫時無法響應服務器,類似“網絡服務正忙,請稍後重試”的意思。
1.5 http 常見字段有哪些?
- Host:客戶端發送請求時,用來指定服務器的域名。有了 Host 字段,就可以將請求發往「同一臺」服務器上的不同網站。
- Content-Length 字段:服務器在返回數據時,會有 Content-Length 字段,表明本次迴應的數據長度。如上面則是告訴瀏覽器,本次服務器迴應的數據長度是 1000 個字節,後面的字節就屬於下一個迴應了。
- Connection 字段:Connection 字段最常用於客戶端要求服務器使用 TCP 持久連接,以便其他請求複用。HTTP/1.1 版本的默認連接都是持久連接,但爲了兼容老版本的 HTTP,需要指定 Connection 首部字段的值爲 Keep-Alive。
- Content-Type 字段:Content-Type 字段用於服務器迴應時,告訴客戶端,本次數據是什麼格式。
客戶端請求的時候,可以使用 Accept 字段聲明自己可以接受哪些數據格式。- Content-Encoding 字段:Content-Encoding 字段說明數據的壓縮方法。表示服務器返回的數據使用了什麼壓縮格式。
客戶端在請求時,用 Accept-Encoding 字段說明自己可以接受哪些壓縮方法。
二、GET 與 POST
2.1 說一下 GET 和 POST 的區別?
Get 方法的含義是請求從服務器獲取資源,這個資源可以是靜態的文本、頁面、圖片視頻等。
比如,你打開我的文章,瀏覽器就會發送 GET 請求給服務器,服務器就會返回文章的所有文字及資源。
而POST 方法則是相反操作,它向 URI 指定的資源提交數據,數據就放在報文的 body 裏。
比如,你在我文章底部,敲入了留言後點擊「提交」,瀏覽器就會執行一次 POST 請求,把你的留言文字放進了報文 body 裏,然後拼接好 POST 請求頭,通過 TCP 協議發送給服務器。
2.2 GET 和 POST 方法都是安全和冪等的嗎?
先說明下安全和冪等的概念:
在 HTTP 協議裏,所謂的「安全」是指請求方法不會「破壞」服務器上的資源。
所謂的「冪等」,意思是多次執行相同的操作,結果都是「相同」的。
那麼很明顯 GET 方法就是安全且冪等的,因爲它是「只讀」操作,無論操作多少次,服務器上的數據都是安全的,且每次的結果都是相同的。
POST 因爲是「新增或提交數據」的操作,會修改服務器上的資源,所以是不安全的,且多次提交數據就會創建多個資源,所以不是冪等的。
三、HTTP 特性
3.1 你知道的 HTTP(1.1) 的優點有哪些,怎麼體現的?
HTTP 最凸出的優點是「簡單、靈活和易於擴展、應用廣泛和跨平臺」。
- 簡單
HTTP 基本的報文格式就是 header + body,頭部信息也是 key-value 簡單文本的形式,易於理解,降低了學習和使用的門檻。- 靈活和易於擴展
HTTP協議裏的各類請求方法、URI/URL、狀態碼、頭字段等每個組成要求都沒有被固定死,都允許開發人員自定義和擴充。
同時 HTTP 由於是工作在應用層( OSI 第七層),則它下層可以隨意變化。
HTTPS 也就是在 HTTP 與 TCP 層之間增加了 SSL/TLS 安全傳輸層,HTTP/3 甚至把 TCPP 層換成了基於 UDP 的 QUIC。- 應用廣泛和跨平臺
互聯網發展至今,HTTP 的應用範圍非常的廣泛,從臺式機的瀏覽器到手機上的各種 APP,從看新聞、刷貼吧到購物、理財、喫雞,HTTP 的應用片地開花,同時天然具有跨平臺的優越性。
3.2 那它的缺點呢?
HTTP 協議裏有優缺點一體的雙刃劍,分別是「無狀態、明文傳輸」,同時還有一大缺點「不安全」。
- 無狀態雙刃劍
無狀態的好處,因爲服務器不會去記憶 HTTP 的狀態,所以不需要額外的資源來記錄狀態信息,這能減輕服務器的負擔,能夠把更多的 CPU 和內存用來對外提供服務。
無狀態的壞處,既然服務器沒有記憶能力,它在完成有關聯性的操作時會非常麻煩。
例如登錄->添加購物車->下單->結算->支付,這系列操作都要知道用戶的身份纔行。但服務器不知道這些請求是有關聯的,每次都要問一遍身份信息。
這樣每操作一次,都要驗證信息,這樣的購物體驗還能愉快嗎?
對於無狀態的問題,解法方案有很多種,其中比較簡單的方式用 Cookie 技術。
Cookie 通過在請求和響應報文中寫入 Cookie 信息來控制客戶端的狀態。
相當於,在客戶端第一次請求後,服務器會下發一個裝有客戶信息的「小貼紙」,後續客戶端請求服務器的時候,帶上「小貼紙」,服務器就能認得了了。
- 明文傳輸雙刃劍
明文意味着在傳輸過程中的信息,是可方便閱讀的,通過瀏覽器的 F12 控制檯或 Wireshark 抓包都可以直接肉眼查看,爲我們調試工作帶了極大的便利性。
但是這正是這樣,HTTP 的所有信息都暴露在了光天化日下,相當於信息裸奔。在傳輸的漫長的過程中,信息的內容都毫無隱私可言,很容易就能被竊取。
- 不安全
HTTP 比較嚴重的缺點就是不安全:
通信使用明文(不加密),內容可能會被竊聽。比如,賬號信息容易泄漏,那你號沒了。
不驗證通信方的身份,因此有可能遭遇僞裝。比如,訪問假的淘寶、拼多多,那你錢沒了。
無法證明報文的完整性,所以有可能已遭篡改。比如,網頁上植入垃圾廣告,視覺污染,眼沒了。
HTTP 的安全問題,可以用 HTTPS 的方式解決,也就是通過引入 SSL/TLS 層,使得在安全上達到了極致。
3.3 那你說下 HTTP/1.1 的性能如何?
HTTP 協議是基於 TCP/IP,並且使用了「請求 - 應答」的通信模式,所以性能的關鍵就在這兩點裏。
- 長連接
早期 HTTP/1.0 性能上的一個很大的問題,那就是每發起一個請求,都要新建一次 TCP 連接(三次握手),而且是串行請求,做了無畏的 TCP 連接建立和斷開,增加了通信開銷。
爲了解決上述 TCP 連接問題,HTTP/1.1 提出了長連接的通信方式,也叫持久連接。這種方式的好處在於減少了 TCP 連接的重複建立和斷開所造成的額外開銷,減輕了服務器端的負載。
持久連接的特點是,只要任意一端沒有明確提出斷開連接,則保持 TCP 連接狀態。
- 管道網絡傳輸
HTTP/1.1 採用了長連接的方式,這使得管道(pipeline)網絡傳輸成爲了可能。
即可在同一個 TCP 連接裏面,客戶端可以發起多個請求,只要第一個請求發出去了,不必等其回來,就可以發第二個請求出去,可以減少整體的響應時間。
舉例來說,客戶端需要請求兩個資源。以前的做法是,在同一個TCP連接裏面,先發送 A 請求,然後等待服務器做出迴應,收到後再發出 B 請求。管道機制則是允許瀏覽器同時發出 A 請求和 B 請求。
但是服務器還是按照順序,先回應 A 請求,完成後再回應 B 請求。要是 前面的迴應特別慢,後面就會有許多請求排隊等着。這稱爲「隊頭堵塞」。
- 隊頭阻塞
「請求 - 應答」的模式加劇了 HTTP 的性能問題。
因爲當順序發送的請求序列中的一個請求因爲某種原因被阻塞時,在後面排隊的所有請求也一同被阻塞了,會招致客戶端一直請求不到數據,這也就是「隊頭阻塞」。好比上班的路上塞車。
總之 HTTP/1.1 的性能一般般,後續的 HTTP/2 和 HTTP/3 就是在優化 HTTP 的性能。
四、HTTP 與 HTTPS
4.1 HTTP 與 HTTPS 有哪些區別?
- HTTP 是超文本傳輸協議,信息是明文傳輸,存在安全風險的問題。HTTPS 則解決 HTTP 不安全的缺陷,在 HTTP 與 TCP 層之間增加了 SSL/TLS 安全傳輸層,使得報文能夠加密傳輸。
- HTTP 連接建立相對簡單, TCP 三次握手之後便可進行 HTTP 的報文傳輸。而 HTTPS 在 TCP 三次握手之後,還需進行 SSL/TLS 的握手過程,纔可進入加密報文傳輸。
- HTTP 的端口號是 80,HTTPS 的端口號是 443。
- HTTPS 協議需要向 CA(證書權威機構)申請數字證書,來保證服務器的身份是可信的。
4.2 HTTPS 解決了 HTTP 的哪些問題?
HTTP 由於是明文傳輸,所以安全上存在以下三個風險:
- 竊聽風險,比如通信鏈路上可以獲取通信內容,用戶號容易沒。
- 篡改風險,比如強制入垃圾廣告,視覺污染,用戶眼容易瞎。
- 冒充風險,比如冒充淘寶網站,用戶錢容易沒。
HTTPS 在 HTTP 與 TCP 層之間加入了 SSL/TLS 協議。
可以很好的解決了上述的風險:
- 信息加密:交互信息無法被竊取,但你的號會因爲「自身忘記」賬號而沒。
- 校驗機制:無法篡改通信內容,篡改了就不能正常顯示,但百度「競價排名」依然可以搜索垃圾廣告。
- 身份證書:證明淘寶是真的淘寶網,但你的錢還是會因爲「剁手」而沒。
可見,只要自身不做「惡」,SSL/TLS 協議是能保證通信是安全的。
4.3 HTTPS 是如何解決上面的三個風險的?
- 混合加密的方式實現信息的機密性,解決了竊聽的風險。
- 摘要算法的方式來實現完整性,它能夠爲數據生成獨一無二的「指紋」,指紋用於校驗數據的完整性,解決了篡改的風險。
- 將服務器公鑰放入到數字證書中,解決了冒充的風險。
- 混合加密
通過混合加密的方式可以保證信息的機密性,解決了竊聽的風險。
HTTPS 採用的是對稱加密和非對稱加密結合的「混合加密」方式:
- 在通信建立前採用非對稱加密的方式交換「會話祕鑰」,後續就不再使用非對稱加密。
- 在通信過程中全部使用對稱加密的「會話祕鑰」的方式加密明文數據。
採用「混合加密」的方式的原因:- 對稱加密只使用一個密鑰,運算速度快,密鑰必須保密,無法做到安全的密鑰交換。
- 非對稱加密使用兩個密鑰:公鑰和私鑰,公鑰可以任意分發而私鑰保密,解決了密鑰交換問題但速度慢。
- 摘要算法
摘要算法用來實現完整性,能夠爲數據生成獨一無二的「指紋」,用於校驗數據的完整性,解決了篡改的風險。
客戶端在發送明文之前會通過摘要算法算出明文的「指紋」,發送的時候把「指紋 + 明文」一同
加密成密文後,發送給服務器,服務器解密後,用相同的摘要算法算出發送過來的明文,通過比較客戶端攜帶的「指紋」和當前算出的「指紋」做比較,若「指紋」相同,說明數據是完整的。
- 數字證書
客戶端先向服務器端索要公鑰,然後用公鑰加密信息,服務器收到密文後,用自己的私鑰解密。
這就存在些問題,如何保證公鑰不被篡改和信任度?
所以這裏就需要藉助第三方權威機構 CA (數字證書認證機構),將服務器公鑰放在數字證書(由數字證書認證機構頒發)中,只要證書是可信的,公鑰就是可信的。
通過數字證書的方式保證服務器公鑰的身份,解決冒充的風險。
4.4 HTTPS 是如何建立連接的?其間交互了什麼?
SSL/TLS 協議基本流程:
- 客戶端向服務器索要並驗證服務器的公鑰。
- 雙方協商生產「會話祕鑰」。
- 雙方採用「會話祕鑰」進行加密通信。
前兩步也就是 SSL/TLS 的建立過程,也就是握手階段。
SSL/TLS 的「握手階段」涉及四次通信,可見下圖:
SSL/TLS 協議建立的詳細流程:
- ClientHello
首先,由客戶端向服務器發起加密通信請求,也就是 ClientHello 請求。
在這一步,客戶端主要向服務器發送以下信息:
(1)客戶端支持的 SSL/TLS 協議版本,如 TLS 1.2 版本。
(2)客戶端生產的隨機數(Client Random),後面用於生產「會話祕鑰」。
(3)客戶端支持的密碼套件列表,如 RSA 加密算法。- SeverHello
服務器收到客戶端請求後,向客戶端發出響應,也就是 SeverHello。服務器迴應的內容有如下內容:
(1)確認 SSL/ TLS 協議版本,如果瀏覽器不支持,則關閉加密通信。
(2)服務器生產的隨機數(Server Random),後面用於生產「會話祕鑰」。
(3)確認的密碼套件列表,如 RSA 加密算法。
(4)服務器的數字證書。- 客戶端迴應
客戶端收到服務器的迴應之後,首先通過瀏覽器或者操作系統中的 CA 公鑰,確認服務器的數字證書的真實性。
如果證書沒有問題,客戶端會從數字證書中取出服務器的公鑰,然後使用它加密報文,向服務器發送如下信息:
(1)一個隨機數(pre-master key)。該隨機數會被服務器公鑰加密。
(2)加密通信算法改變通知,表示隨後的信息都將用「會話祕鑰」加密通信。
(3)客戶端握手結束通知,表示客戶端的握手階段已經結束。這一項同時把之前所有內容的發生的數據做個摘要,用來供服務端校驗。
上面第一項的隨機數是整個握手階段的第三個隨機數,這樣服務器和客戶端就同時有三個隨機數,接着就用雙方協商的加密算法,各自生成本次通信的「會話祕鑰」。- 服務器的最後迴應
服務器收到客戶端的第三個隨機數(pre-master key)之後,通過協商的加密算法,計算出本次通信的「會話祕鑰」。然後,向客戶端發生最後的信息:
(1)加密通信算法改變通知,表示隨後的信息都將用「會話祕鑰」加密通信。
(2)服務器握手結束通知,表示服務器的握手階段已經結束。這一項同時把之前所有內容的發生的數據做個摘要,用來供客戶端校驗。
至此,整個 SSL/TLS 的握手階段全部結束。接下來,客戶端與服務器進入加密通信,就完全是使用普通的 HTTP 協議,只不過用「會話祕鑰」加密內容。
五、HTTP/1.1、HTTP/2、HTTP/3 演變
5.1 說說 HTTP/1.1 相比 HTTP/1.0 提高了什麼性能?
5.2 那上面的 HTTP/1.1 的性能瓶頸,HTTP/2 做了什麼優化?
這樣雖然對人不友好,但是對計算機非常友好,因爲計算機只懂二進制,那麼收到報文後,無需再將明文的報文轉成二進制,而是直接解析二進制報文,這增加了數據傳輸的效率。
5.3 HTTP/2 有哪些缺陷?HTTP/3 做了哪些優化?
所以, QUIC 是一個在 UDP 之上的僞 TCP + TLS + HTTP/2 的多路複用的協議。
QUIC 是新協議,對於很多網絡設備,根本不知道什麼是 QUIC,只會當做 UDP,這樣會出現新的問題。所以 HTTP/3 現在普及的進度非常的緩慢,不知道未來 UDP 是否能夠逆襲 TCP。