HTTP/HTMI浏览器基础

一.主流五大浏览器与四大内核

浏览器	内核
IE浏览器	Trident内核
firefox浏览器	Gecko内核
chrome浏览器	Blink 内核
opera浏览器	Blink内核
Safari浏览器	Webkit内核

二.http和https

1.基本概念

• HTTP: (HyperText Transfer Protocol超文本传输协议)
  是一个客户端和服务器端请求和应答的标准（TCP）,用于从WWW服务器传输超文本到本地浏览器的传输协议，它可以使浏览器更加高效，使网络传输减少。http协议的端口一般为80
• HTTPS:(HTTP下加入SSL层)是以安全为目标的HTTP通道,因此加密的详细内容就需要SSL。相较http多出了TLS/SSL内容加密、数字证书(CA)验明身份、MD5、SHA-1等散列值方法防止信息篡改。https的端口一般为443

2. 区别

1、HTTPS协议需要ca证书，费用较高。
2、HTTP是超文本传输协议，信息是明文传输，HTTPS则是具有安全性的ssl加密传输协议。
3、使用不同的连接方式，端口也不同，一般而言，HTTP协议的端口为80，HTTPS的端口为443
4、HTTP的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比HTTP协议安全。

3.HTTPS协议工作原理

• 1、客户端使用HTTPS的url访问服务器，则要求服务器建立SSL链接。
• 2、服务器接收到客户端的请求之后，会将网站的证书（证书中包含了公钥），返回给客户端。
• 3、客户端和服务器端开始协商SSL连接的安全等级，也就是加密等级。
• 4、客户端和浏览器通过双方协商一致的安全等级，建立会话密钥，然后通过网站的公钥来加密会话密钥，并传送给网站。
• 5、服务器通过自己的私钥解密出会话密钥。
• 6、服务器通过会话密钥加密与客户端之间的通信。

4.HTTPS协议优优缺点

• 1、使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器；
• 2、HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比HTTP协议安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性。
• 3、HTTPS是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。
• 4、谷歌曾在2014年8月份调整搜索引擎算法，并称“比起同等HTTP网站，采用HTTPS加密的网站在搜索结果中的排名将会更高”。

---

• 1、HTTPS握手阶段比较费时，会使页面加载时间延长50%，增加10%~20%的耗电。
• 2、HTTPS缓存不如HTTP高效，会增加数据开销。
• 3、SSL证书也需要钱，功能越强大的证书费用越高。
• 4、SSL证书需要绑定IP，不能再同一个ip上绑定多个域名，ipv4资源支持不了这种消耗

5.HTTP支持的方法

GET, POST, HEAD, OPTIONS, PUT, DELETE, TRACE, CONNECT

• HTTP请求的方式，HEAD方式、OPTIONS方式 :
  • head：类似于get请求，只不过返回的响应中没有具体的内容，用户获取报头
  • options：允许客户端查看服务器的性能，比如说服务器支持的请求方式等等。

6.HTTP返回状态码

100    Continue    继续。客户端应继续其请求
101    Switching Protocols    切换协议。服务器根据客户端的请求切换协议。只能切换到更高级的协议，例如，切换到HTTP的新版本协议

200    OK    请求成功。一般用于GET与POST请求

201    Created    已创建。成功请求并创建了新的资源

202    Accepted    已接受。已经接受请求，但未处理完成

203    Non-Authoritative Information    非授权信息。请求成功。但返回的meta信息不在原始的服务器，而是一个副本

204    No Content    无内容。服务器成功处理，但未返回内容。在未更新网页的情况下，可确保浏览器继续显示当前文档

205    Reset Content    重置内容。服务器处理成功，用户终端（例如：浏览器）应重置文档视图。可通过此返回码清除浏览器的表单域

206    Partial Content    部分内容。服务器成功处理了部分GET请求

300    Multiple Choices    多种选择。请求的资源可包括多个位置，相应可返回一个资源特征与地址的列表用于用户终端（例如：浏览器）选择

301    Moved Permanently    永久移动。请求的资源已被永久的移动到新URI，返回信息会包括新的URI，浏览器会自动定向到新URI。今后任何新的请求都应使用新的URI代替

302    Found    临时移动。与301类似。但资源只是临时被移动。客户端应继续使用原有URI

303    See Other    查看其它地址。与301类似。使用GET和POST请求查看

304    Not Modified    未修改。所请求的资源未修改，服务器返回此状态码时，不会返回任何资源。客户端通常会缓存访问过的资源，通过提供一个头信息指出客户端希望只返回在指定日期之后修改的资源

305    Use Proxy    使用代理。所请求的资源必须通过代理访问

306    Unused    已经被废弃的HTTP状态码

307    Temporary Redirect    临时重定向。与302类似。使用GET请求重定向

400    Bad Request    客户端请求的语法错误，服务器无法理解

401    Unauthorized    请求要求用户的身份认证

402    Payment Required    保留，将来使用

403    Forbidden    服务器理解请求客户端的请求，但是拒绝执行此请求

404    Not Found    服务器无法根据客户端的请求找到资源（网页）。通过此代码，网站设计人员可设置"您所请求的资源无法找到"的个性页面

405    Method Not Allowed    客户端请求中的方法被禁止

406    Not Acceptable    服务器无法根据客户端请求的内容特性完成请求

407    Proxy Authentication Required    请求要求代理的身份认证，与401类似，但请求者应当使用代理进行授权

408    Request Time-out    服务器等待客户端发送的请求时间过长，超时

409    Conflict    服务器完成客户端的PUT请求是可能返回此代码，服务器处理请求时发生了冲突

410    Gone    客户端请求的资源已经不存在。410不同于404，如果资源以前有现在被永久删除了可使用410代码，网站设计人员可通过301代码指定资源的新位置

411    Length Required    服务器无法处理客户端发送的不带Content-Length的请求信息

412    Precondition Failed    客户端请求信息的先决条件错误

413    Request Entity Too Large    由于请求的实体过大，服务器无法处理，因此拒绝请求。为防止客户端的连续请求，服务器可能会关闭连接。如果只是服务器暂时无法处理，则会包含一个Retry-After的响应信息

414    Request-URI Too Large    请求的URI过长（URI通常为网址），服务器无法处理

415    Unsupported Media Type    服务器无法处理请求附带的媒体格式

416    Requested range not satisfiable    客户端请求的范围无效

417    Expectation Failed    服务器无法满足Expect的请求头信息

500    Internal Server Error    服务器内部错误，无法完成请求

501    Not Implemented    服务器不支持请求的功能，无法完成请求

502    Bad Gateway    作为网关或者代理工作的服务器尝试执行请求时，从远程服务器接收到了一个无效的响应

503    Service Unavailable    由于超载或系统维护，服务器暂时的无法处理客户端的请求。延时的长度可包含在服务器的Retry-After头信息中

504    Gateway Time-out    充当网关或代理的服务器，未及时从远端服务器获取请求

505    HTTP Version not supported    服务器不支持请求的HTTP协议的版本，无法完成处理

三.TCP协议

client/server

• 第一次握手：S可以确认（自己可以接收C发送的报文段）
• 第二次握手：C可以确认（S收到了自己发送的报文段，并且自己可以接受S发送的报文段）
• 第三次握手：S可以确认（C收到了自己发送的报文段）

TCP 和 UDP 的区别

• 1、TCP是面向连接的，UDP是无连接的，即发送数据前不需要先建立连接。
• 2、TCP提供可靠的服务，也就是说，通过TCP连接传送的数据，无差错，不丢失，不重复，且按序到达。UDP尽最大努力交付，即不保证可靠交付。 并且因为TCP可靠，面向连接，不会丢失数据因此适合大数据量的交换。
• 3、TCP是面向字节流，UDP面向报文，并且网络出现拥塞不会使得发送速率降低（因此会出现丢包，对实时的应用比如IP电话和视频会议等）。
• 4、TCP只能是1对1的，UDP支持1对1，1对多。
• 5、TCP的首部较大为20字节，而UDP只有8字节。
• 6、TCP是面向连接的可靠性传输，而UDP是不可靠的。

四.WedSocket

1.Wedsocket概念

• WebSocket 是HTML5中的协议，支持持久连续。HTTP协议不支持持久性连接。HTTP1.0和HTTP1.1都不支持持久性的链接，HTTP1.1中的keep-alive，将多个http请求合并为1个。

2.WebSocket是什么样的协议，具体有什么优点？

• 1、HTTP的生命周期通过Request来界定，也就是Request一个Response，那么在Http1.0协议中，这次Http请求就结束了。在Http1.1中进行了改进，是的有一个connection：Keep-alive，也就是说，在一个Http连接中，可以发送多个Request，接收多个Response。但是必须记住，在Http中一个Request只能对应有一个Response，而且这个Response是被动的，不能主动发起。
• 2、WebSocket是基于Http协议的，或者说借用了Http协议来完成一部分握手，在握手阶段与Http是相同的。我们来看一个websocket握手协议的实现，基本是2个属性，upgrade，connection。

GET /chat HTTP/1.1
Host: server.example.com
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Key: x3JJHMbDL1EzLkh9GBhXDw==
Sec-WebSocket-Protocol: chat, superchat
Sec-WebSocket-Version: 13
Origin: http://example.com

多了下面2个属性,告诉服务器发送的是websocket

五.Cookie、localStorage 和 sessionStorage

1.共同点： 都是保存在浏览器端，并且是同源的
2.概念

• Cookie：cookie数据始终在同源的http请求中携带（即使不需要），即cookie在浏览器和服务器间来回传递。而sessionStorage和localStorage不会自动把数据发给服务器，仅在本地保存。cookie数据还有路径（path）的概念，可以限制cookie只属于某个路径下,存储的大小很小只有4K左右。 （key：可以在浏览器和服务器端来回传递，存储容量小，只有大约4K左右）
• localStorage：localStorage 在所有同源窗口中都是共享的；cookie也是在所有同源窗口中都是共享的。（key：同源窗口都会共享，并且不会失效，不管窗口或者浏览器关闭与否都会始终生效）
• sessionStorage：仅在当前浏览器窗口关闭前有效，自然也就不可能持久保持，localStorage：始终有效，窗口或浏览器关闭也一直保存，因此用作持久数据；cookie只在设置的cookie过期时间之前一直有效，即使窗口或浏览器关闭。（key：本身就是一个回话过程，关闭浏览器后消失，session为一个回话，当页面不同即使是同一页面打开两次，也被视为同一次回话）

–	Cookie	localStorage	sessionStorage
生命周期	可设置失效时间，否则默认为关闭浏览器后失效	除非被手动清除，否则永久保存	仅在当前网页会话下有效，关闭页面或浏览器后就会被清除
存放数据	4k左右	可以保存5M的信息	可以保存5M的信息
http请求	每次都会携带在http头中，如果使用cookie保存过多数据会带来性能问题	仅在客户端即浏览器中保存，不参与和服务器的通信	仅在客户端即浏览器中保存，不参与和服务器的通信
易用性	需要程序员自己封装，原生的cookie接口不友好	即可采用原生接口，亦可再次封装	即可采用原生接口，亦可再次封装
应用场景	从安全性来说，因为每次http请求都回携带cookie信息，这样子浪费了带宽，所以cookie应该尽可能的少用，此外cookie还需要指定作用域，不可以跨域调用，限制很多，但是用户识别用户登陆来说，cookie还是比storage好用，其他情况下可以用storage	可以用来在页面传递参数	可以用来保存一些临时的数据，防止用户刷新页面后丢失了一些参数，

六.Cookie和session的区别

• HTTP是一个无状态协议，因此Cookie的最大的作用就是存储sessionId用来唯一标识用户

Cookie	session
cookie存放于客户端	session存放于服务器端
存放不敏感信息	存放敏感信息

* 2、cookie不是很安全，别人可以分析存放在本地的cookie并进行cookie欺骗考虑到安全应当使用session。
* 3、session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能。考虑到减轻服务器性能方面，应当使用COOKIE。
* 4、单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie。

七.GET和POST的区别

GET	POST
get参数通过url传递	post放在request body中
get请求在url中传递的参数是有长度限制的	post没有长度限制
get因为参数直接暴露在url中更不安全所以不能用来传递敏感信息
get请求只能进行url编码	post支持多种编码方式
get请求会浏览器主动cache	post支持多种编码方式
get请求参数会被完整保留在浏览历史记录里	post中的参数不会被保留
GET和POST本质上就是TCP链接，并无差别。但是由于HTTP的规定和浏览器/服务器的限制，导致他们在应用过程中体现出一些不同
GET产生一个TCP数据包	POST产生两个TCP数据包

八. 输入URL到页面加载显示完成中间步骤

1.DNS解析
2.TCP连接
3.发送HTTP请求
4.服务器处理请求并返回HTTP报文
5.浏览器解析渲染页面
6.连接结束
输入url后，首先需要找到这个url域名的服务器ip,为了寻找这个ip，浏览器首先会寻找缓存，查看缓存中是否有记录，缓存的查找记录为：浏览器缓存->系统缓存->路由器缓存，缓存中没有则查找系统的hosts文件中是否有记录，如果没有则查询DNS服务器，得到服务器的ip地址后，浏览器根据这个ip以及相应的端口号，构造一个http请求，这个请求报文会包括这次请求的信息，主要是请求方法，请求说明和请求附带的数据，并将这个http请求封装在一个tcp包中，这个tcp包会依次经过传输层，网络层，数据链路层，物理层到达服务器，服务器解析这个请求来作出响应，返回相应的html给浏览器，因为html是一个树形结构，浏览器根据这个html来构建DOM树，在dom树的构建过程中如果遇到JS脚本和外部JS连接，则会停止构建DOM树来执行和下载相应的代码，这会造成阻塞，这就是为什么推荐JS代码应该放在html代码的后面，之后根据外部央视，内部央视，内联样式构建一个CSS对象模型树CSSOM树，构建完成后和DOM树合并为渲染树，这里主要做的是排除非视觉节点，比如script，meta标签和排除display为none的节点，之后进行布局，布局主要是确定各个元素的位置和尺寸，之后是渲染页面，因为html文件中会含有图片，视频，音频等资源，在解析DOM的过程中，遇到这些都会进行并行下载，浏览器对每个域的并行下载数量有一定的限制，一般是4-6个，当然在这些所有的请求中我们还需要关注的就是缓存，缓存一般通过Cache-Control、Last-Modify、Expires等首部字段控制。 Cache-Control和Expires的区别在于Cache-Control使用相对时间，Expires使用的是基于服务器端的绝对时间，因为存在时差问题，一般采用Cache-Control，在请求这些有设置了缓存的数据时，会先 查看是否过期，如果没有过期则直接使用本地缓存，过期则请求并在服务器校验文件是否修改，如果上一次 响应设置了ETag值会在这次请求的时候作为If-None-Match的值交给服务器校验，如果一致，继续校验 Last-Modified，没有设置ETag则直接验证Last-Modified，再决定是否返回304

九.浏览器缓存

缓存分为两种：强缓存和协商缓存（根据响应的header内容来决定）

• 强缓存相关字段有expires，cache-control。如果cache-control与expires同时存在的话，cache-control的优先级高于expires。
• 协商缓存相关字段有Last-Modified/If-Modified-Since，Etag/If-None-Match