【网络安全面经】技术性问题3

11. 一次完整的 HTTP 请求过程

域名解析：通过 DNS 将域名转换为 IP 地址，如上述 DNS 的工作原理。
建立 TCP 连接：客户端向服务器发送 SYN 报文段，经过三次握手建立 TCP 连接。
发送 HTTP 请求：客户端向服务器发送 HTTP 请求报文，请求报文包括请求行（包含请求方法，如 GET、POST 等，请求的 URL 和 HTTP 协议版本）、请求头（包含客户端的一些信息，如浏览器类型、语言等）和请求体（对于 POST 请求，请求体中包含要提交的数据）。
服务器处理请求：服务器收到 HTTP 请求后，根据请求的内容进行处理。如果请求的是一个网页，服务器会查找相应的网页文件，并可能执行服务器端脚本（如 PHP、ASP 等）。
发送 HTTP 响应：服务器处理完请求后，向客户端发送 HTTP 响应报文。响应报文包括响应行（包含 HTTP 协议版本、状态码和状态消息，如 200 OK 表示请求成功）、响应头（包含服务器的一些信息，如服务器类型、内容类型等）和响应体（包含实际的响应内容，如网页的 HTML 代码）。
关闭 TCP 连接：客户端收到 HTTP 响应后，根据响应内容进行处理（如在浏览器中显示网页）。然后，客户端和服务器通过四次挥手关闭 TCP 连接。

Cookies
- 定义：是由服务器发送给客户端浏览器，并保存在客户端本地的一小段文本信息。
- 工作机制
  - 当用户第一次访问网站时，服务器可以在响应头中设置一个或多个 Cookies，浏览器收到响应后，会将 Cookies 保存起来。
  - 下次用户再次访问该网站时，浏览器会在请求头中自动带上这些 Cookies，服务器根据收到的 Cookies 来识别用户的身份或获取用户的相关信息。
- 特点
  - 存储在客户端，容易被篡改。
  - 可以设置过期时间，在过期时间之前，每次访问网站都会带上 Cookies。
Session
- 定义：是服务器端为了维护用户状态而创建的一种机制。
- 工作机制
  - 当用户第一次访问网站时，服务器会为用户创建一个唯一的会话 ID，并将该会话 ID 通过 Cookies 或 URL 重写等方式传递给客户端。
  - 客户端在后续的请求中带上会话 ID，服务器根据会话 ID 在服务器端找到对应的会话对象，会话对象中存储了用户的相关信息。
- 特点
  - 会话信息存储在服务器端，相对安全。
  - 通常需要依赖 Cookies 或其他机制来传递会话 ID，如果客户端禁用了 Cookies，可能需要采用其他方式（如 URL 重写）来传递会话 ID。

安全性（续）
- POST：数据在请求体中，相对 GET 更安全一些，但如果没有采用加密传输（如 HTTPS），数据仍然可能被截获。
缓存
- GET：通常会被浏览器缓存，当用户再次访问相同的 URL 时，浏览器可能直接从缓存中获取数据，而不向服务器发送请求。
- POST：一般不会被浏览器缓存，每次提交 POST 请求都会向服务器发送数据。
幂等性
- GET：具有幂等性，多次执行相同的 GET 请求，对服务器资源的影响是相同的，即不会改变服务器资源状态。例如多次查询数据库中的数据，结果是相同的。
- POST：一般不具有幂等性，多次执行相同的 POST 请求可能会对服务器资源产生不同的影响，如多次提交订单会创建多个订单。

数据传输安全性
- HTTP（Hypertext Transfer Protocol）：数据以明文形式传输，在传输过程中容易被窃取、篡改。例如，用户在 HTTP 网站上输入的登录密码可能会被网络中的攻击者截获。
- HTTPS（Hypertext Transfer Protocol Secure）：在 HTTP 的基础上加入了 SSL/TLS 协议进行加密传输。它使用公钥 - 私钥对数据进行加密和解密，确保数据在传输过程中的安全性。
端口号
- HTTP：默认端口号是 80。
- HTTPS：默认端口号是 443。
证书
- HTTP：不需要证书。
- HTTPS：需要 SSL 证书，证书由证书颁发机构（CA）颁发，用于验证网站的身份。当用户访问 HTTPS 网站时，浏览器会检查证书的有效性，如果证书无效或过期，浏览器会提示用户存在安全风险。
搜索引擎优化（SEO）
- HTTP：随着网络安全的重视，搜索引擎对 HTTP 网站的排名可能会逐渐降低。
- HTTPS：搜索引擎更倾向于对 HTTPS 网站进行更好的排名，因为它能提供更安全的用户体验。

创建
- 当用户第一次访问网站时，服务器会创建一个新的会话（Session），并为该会话生成一个唯一的会话 ID（Session ID）。
存储
- 服务器会将会话相关的数据（如用户登录信息、购物车数据等）存储在服务器端的内存或其他存储介质（如数据库）中，以会话 ID 作为索引。
传递
- 服务器将会话 ID 传递给客户端，通常通过以下方式：
  - Cookies：最常见的方式是将会话 ID 放在 Cookies 中发送给客户端，客户端在后续的每次请求中都会自动带上 Cookies 中的会话 ID。
  - URL 重写：如果客户端禁用了 Cookies，服务器可以将会话 ID 附加在 URL 后面，如http://example.com/page.jsp;jsessionid=123456，这种方式需要对网站中的链接进行处理，确保会话 ID 能够正确传递。
检索和使用
- 当客户端再次发送请求时，服务器根据收到的会话 ID 检索对应的会话数据，根据会话数据来处理用户的请求。例如，如果用户已经登录，服务器可以根据会话中的用户登录信息提供个性化的服务。
销毁
- 当用户退出登录、会话超时或服务器决定结束会话时，服务器会销毁对应的会话数据，并停止跟踪该用户的会话状态。

短连接（HTTP Short - Connection）
- 定义：每次 HTTP 请求 / 响应完成后，客户端和服务器之间的 TCP 连接就会立即关闭。
- 工作过程
  - 客户端向服务器发起 HTTP 请求，先建立 TCP 连接（通过三次握手）。
  - 服务器处理请求并返回 HTTP 响应。
  - 客户端收到响应后，通过四次挥手关闭 TCP 连接。
  - 下次客户端有新的 HTTP 请求时，需要重新建立 TCP 连接。
- 应用场景：适用于对实时性要求不高、请求频率较低的场景，如简单的网页浏览，用户在不同页面之间切换时，每次重新建立连接对用户体验影响不大。
长连接（HTTP Long - Connection）
- 定义：在一次 TCP 连接中可以进行多次 HTTP 请求 / 响应，连接在一段时间内保持打开状态，直到达到预定的条件（如空闲时间过长、连接数量达到上限等）才会关闭。
- 工作过程
  - 客户端向服务器发起 HTTP 请求，建立 TCP 连接。
  - 服务器处理请求并返回 HTTP 响应，但 TCP 连接不关闭。
  - 客户端可以在该连接上继续发起新的 HTTP 请求，服务器继续处理和响应，多次重复此过程。
  - 当满足关闭条件时，通过四次挥手关闭 TCP 连接。
- 应用场景：适用于对实时性要求高、请求频繁的场景，如在线聊天、网页游戏等，避免了频繁建立和断开 TCP 连接带来的开销，提高了数据传输效率。