文章目录
http协议,cookie和session
第一节:HTTP协议
超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。**设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。**1960年美国人[Ted Nelson](https://baike.baidu.com/item/Ted Nelson)构思了一种通过计算机处理文本信息的方法,并称之为超文本(hypertext),这成为了HTTP超文本传输协议标准架构的发展根基。Ted Nelson组织协调万维网协会(World Wide Web Consortium)和互联网工程工作小组(Internet Engineering Task Force )共同合作研究,最终发布了一系列的RFC,其中著名的RFC 2616定义了HTTP 1.1。
1.http协议的作用及特点
HTTP是一个客户端和服务器端请求和应答的标准(TCP)。客户端是终端用户,服务器端是网站。通过使用Web浏览器、网络爬虫或者其它的工具,客户端发起一个到服务器上指定端口(默认端口为80)的HTTP请求。(我们称这个客户端)叫用户代理(user agent)。应答的服务器上存储着(一些)资源,比如HTML文件和图像。(我们称)这个应答服务器为源服务器(origin server)。在用户代理和源服务器中间可能存在多个中间层,比如代理,网关,或者隧道(tunnels)。尽管TCP/IP协议是互联网上最流行的应用,HTTP协议并没有规定必须使用它和(基于)它支持的层。 事实上,HTTP可以在任何其他互联网协议上,或者在其他网络上实现。HTTP只假定(其下层协议提供)可靠的传输,任何能够提供这种保证的协议都可以被其使用。
通常,由HTTP客户端发起一个请求,建立一个到服务器指定端口(默认是80端口)的TCP连接。HTTP服务器则在那个端口监听客户端发送过来的请求。一旦收到请求,服务器(向客户端)发回一个状态行,比如"HTTP/1.1 200 OK",和(响应的)消息,消息的消息体可能是请求的文件、错误消息、或者其它一些信息。HTTP使用TCP而不是UDP的原因在于(打开)一个网页必须传送很多数据,而TCP协议提供传输控制,按顺序组织数据,和错误纠正。
通过HTTP或者HTTPS协议请求的资源由统一资源标示符url(Uniform Resource Identifiers)(或者,更准确一些,URLs)来标识。
http://localhost:8080/aaa/people
特点:
1.基于请求/响应模型的协议。请求和响应必须成对,先有请求后有响应
2.http协议默认端口:80
3.简单快速:客户向服务器请求服务时,只需传送请求方法和路径。请求方法常用的有GET、HEAD、POST。每种方法规定了客户与服务器联系的类型不同。由于HTTP协议简单,使得HTTP服务器的程序规模小,因而通信速度很快。
4.灵活:HTTP允许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。
5.无连接:无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求,并收到客户的应答后,即断开连接。采用这种方式可以节省传输时间。
6.无状态:HTTP协议是无状态协议。 无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息,则它必须重传,这样可能导致每次连接传送的数据量增大。另一方面,在服务器不需要先前信息时它的应答就较快。所以我们要学会话技术(cookie和Session)
每一次的请求之间都是相互独立,互不干扰的。
2.协议功能
2.1简介
HTTP协议(HyperText Transfer Protocol,超文本传输协议)是用于从WWW服务器传输超文本到本地浏览器的传输协议。它可以使浏览器更加高效,使网络传输减少。它不仅保证计算机正确快速地传输超文本文档,还确定传输文档中的哪一部分,以及哪部分内容首先显示(如文本先于图形)等。
HTTP是客户端浏览器或其他程序与Web服务器之间的应用层通信协议。在Internet上的Web服务器上存放的都是超文本信息,客户机需要通过HTTP协议传输所要访问的超文本信息。HTTP包含命令和传输信息,不仅可用于Web访问,也可以用于其他因特网/内联网应用系统之间的通信,从而实现各类应用资源超媒体访问的集成。
2.2 基本的工作原理
一次HTTP操作称为一个事务,其工作过程可分为四步:
原子性。隔离性。
1)首先客户机与服务器需要建立连接。只要单击某个超级链接,HTTP的工作开始。
2)建立连接后,客户机发送一个请求给服务器,请求方式的格式为:统一资源标识符(URL)、协议版本号,后边是MIME信息包括请求修饰符、客户机信息和可能的内容。
3)服务器接到请求后,给予相应的响应信息,其格式为一个状态行,包括信息的协议版本号、一个成功或错误的代码,后边是MIME信息包括服务器信息、实体信息和可能的内容。
4)客户端接收服务器所返回的信息通过浏览器显示在用户的显示屏上,然后客户机与服务器断开连接。
如果在以上过程中的某一步出现错误,那么产生错误的信息将返回到客户端,有显示屏输出。对于用户来说,这些过程是由HTTP自己完成的,用户只要用鼠标点击,等待信息显示就可以了
特点:
短连接、 无状态(无记忆)
2.3 URL解析
我们在浏览器的地址栏里输入的网站地址叫做URL (Uniform Resource Locator,统一资源定位符)。就像每家每户都有一个门牌地址一样,每个网页也都有一个Internet地址。当你在浏览器的地址框中输入一个URL或是单击一个超级链接时,URL就确定了要浏览的地址。浏览器通过超文本传输协议(HTTP),将Web服务器上站点的网页代码提取出来,并翻译成漂亮的网页。
URL,全称是UniformResourceLocator, 中文叫统一资源定位器,是互联网上用来标识某一处资源的地址。以下面这个URL为例,介绍下普通URL的各部分组成:
http://www.aspxfans.com:8080/news/index.jsp?boardID=5&ID=24618&page=1#name
从上面的URL可以看出,一个完整的URL包括以下几部分:
**1.协议部分:**该URL的协议部分为“http:”,这代表网页使用的是HTTP协议。在Internet中可以使用多种协议,如HTTP,FTP等等本例中使用的是HTTP协议。在"HTTP"后面的“//”为分隔符
**2.域名部分:**该URL的域名部分为“www.aspxfans.com”。一个URL中,也可以使用IP地址作为域名使用
**3.端口部分:**跟在域名后面的是端口,域名和端口之间使用“:”作为分隔符。端口不是一个URL必须的部分,如果省略端口部分,将采用默认端口
**4.虚拟目录部分:**从域名后的第一个“/”开始到最后一个“/”为止,是虚拟目录部分。虚拟目录也不是一个URL必须的部分。本例中的虚拟目录是“/news/”
**5.文件名部分(资源路径):**从域名后的最后一个“/”开始到“?”为止,是文件名部分,如果没有“?”,则是从域名后的最后一个“/”开始到“#”为止,是文件部分,如果没有“?”和“#”,那么从域名后的最后一个“/”开始到结束,都是文件名部分。本例中的文件名是“index.asp”。文件名部分也不是一个URL必须的部分,如果省略该部分,则使用默认的文件名
**6.锚部分:**从“#”开始到最后,都是锚部分。本例中的锚部分是“name”。锚部分也不是一个URL必须的部分
**7.参数部分:**从“?”开始到“#”为止之间的部分为参数部分,又称搜索部分、查询部分。本例中的参数部分为“boardID=5&ID=24618&page=1”。参数可以允许有多个参数,参数与参数之间用“&”作为分隔符
3.http协议的版本
HTTP/1.0,发送请求,创建一次连接,获得一个web资源,连接断开
HTTP/1.1,发送请求,创建一次连接,获得多个web资源,连接断开
4.Http协议的组成
Http协议由Http请求和Http响应组成,当在浏览器中输入网址访问某个网站时, 你的浏览器会将你的请求封装成一个Http请求(HttpServletRequest)发送给服务器站点,服务器接收到请求后会组织响应数据封装成一个Http响应(HttpServletResPonse)返回给浏览器。即没有请求就没有响应。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oFbA7WDP-1641428113308)(assets/20180925143521586)]
http请求包括:请求行、请求头、请求体
http响应包括:响应行、响应头、响应体
5.HTTP请求报文
HTTP请求报文由3部分组成(请求行+请求头+请求体): 只有post才有请求体
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-l1fqbF16-1641428113310)(assets/20180926095056907)]
请求行:
例如:POST /chapter17/user.html HTTP/1.1
格式:请求方式 资源路径 协议/版本
请求行必须在http请求格式的第一行。
get请求:
将请求参数追加在url后面,不安全
url长度限制get请求方式数据的大小
没有请求体
一般的HTTP请求大多都是GET。
常见get请求:地址栏直接访问、< a href="">、< img src="">等
post请求:
请求参数在请求体处,较安全。
请求数据大小没有限制
只有表单设置为method=“post”才是post请求,其他都是get请求
HEAD请求:
HEAD跟GET相似,不过服务端接收到HEAD请求时只返回响应头,不发送响应内容。所以,如果只需要查看某个页面的状态时,用HEAD更高效,因为省去了传输页面内容的时间。
DELETE请求:
删除某一个资源。
OPTIONS请求:
用于获取当前URL所支持的方法。若请求成功,会在HTTP头中包含一个名为“Allow”的头,值是所支持的方法,如“GET, POST”。
PUT请求:
把一个资源存放在指定的位置上。
本质上来讲, PUT和POST极为相似,都是向服务器发送数据,但它们之间有一个重要区别,PUT通常指定了资源的存放位置,而POST则没有,POST的数据存放位置由服务器自己决定。
TRACE请求:
回显服务器收到的请求,主要用于测试或诊断。
CONNECT请求:
CONNECT方法是HTTP/1.1协议预留的,能够将连接改为管道方式的代理服务器。通常用于SSL加密服务器的链接与非加密的HTTP代理服务器的通信。
请求头:
**例如:**Host: 39.108.107.149:8080
请求头从第二行开始,到第一个空格结束。请求头和请求体之间存在一个空格(如下)
POST http://39.108.107.149:8080/vk/app/rest/ddp/iModelServiceImpl/findModelByType HTTP/1.1
User-Agent: Fiddler
Host: 39.108.107.149:8080
Content-Length: 11
name=城市
请求头通常以键值对{key:value}方式传递数据。
key为规范的固定值
value为key对应的取值,通常是一个值,可能是一组。
6.HTTP请求报文头属性
常见请求头。
Referer:表示这个请求是从哪个url跳过来的,通过百度来搜索淘宝网,那么在进入淘宝网的请求报文中,Referer的值就是:www.baidu.com。如果是直接访问就不会有这个头。
常用于 : 防盗链。爬虫。
Referrer Policy: no-referrer-when-downgrade
Accept:告诉服务端,该请求所能支持的响应数据类型,专业术语称为MIME 类型(文件类型的一种描述方式)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
MIME格式:大类型/小类型[;参数]
Accept : text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8
例如:
text/html,html文件
text/css,css文件
text/javascript.js文件
image/*,所有图片文件
if-Modified-Sincce:浏览器通知服务器,本地缓存的最后变更时间。与另一个响应头组合控制浏览器页面的缓存
Cookie:客户端的Cookie就是通过这个报文头属性传给服务端的
Cookie: JSESSIONID=15982C27F7507C7FDAF0F97161F634B5
User-Agent:浏览器通知服务器,客户端浏览器与操作系统相关信息
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.100 Safari/537.36
Connection:表示客户端与服务连接类型;Keep-Alive表示持久连接,close已关闭
Connection: keep-alive
Host:请求的服务器主机名
Host: sczpkj.f3322.net:3000
Content-Length:请求体的长度
POST http://39.108.107.149:8080/vk/app/rest/ddp/iModelServiceImpl/findModelByType HTTP/1.1
User-Agent: Fiddler
Host: 39.108.107.149:8080
Content-Length: 11
name=城市
Content-Type:请求的与实体对应的MIME信息。如果是post请求,会有这个头,默认值为application/x-www-form-urlencoded,表示请求体内容使用url编码
Content-Type: application/x-www-form-urlencoded
Accept-Encoding:浏览器通知服务器,浏览器支持的数据压缩格式。如GZIP压缩
Accept-Encoding: gzip, deflate
Accept-Language:浏览器通知服务器,浏览器支持的语言。各国语言(国际化i18n)
Accept-Language: zh-CN,zh;q=0.9
Cache-Control:指定请求和响应遵循的缓存机制
对缓存进行控制,如一个请求希望响应返回的内容在客户端要被缓存一年,或不希望被缓存就可以通过这个报文头达到目的。
Cache-Control: no-cache
请求体
当请求方式是post的时,请求体会有请求的参数,格式如下:
username=zhangsan&password=123
POST http://39.108.107.149:8080/vk/app/rest/ddp/iModelServiceImpl/findModelByType HTTP/1.1
User-Agent: Fiddler
Host: 39.108.107.149:8080
Content-Length: 20
name=城市&status=1
7.HTTP响应报文
HTTP的响应报文也由三部分组成(响应行+响应头+响应体)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yReWxuq7-1641428113311)(assets/20180926113041788)]
示例:
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Set-Cookie: JSESSIONID=E1352C5CCEAD7EA9A6F8DA253395781C; Path=/vk
Content-Type: application/json;charset=UTF-8
Transfer-Encoding: chunked
Date: Wed, 26 Sep 2018 03:24:59 GMT
//此处有空格
1dd0
响应行:
①报文协议及版本;
例如:
HTTP/1.1 200 OK
②状态码及状态描述; 认真看
状态码:由3位数字组成,第一个数字定义了响应的类别
1xx:指示信息,表示请求已接收,继续处理
2xx:成功,表示请求已被成功接受,处理。
- 200 OK:客户端请求成功
- 204 No Content:无内容。服务器成功处理,但未返回内容。一般用在只是客户端向服务器发送信息,而服务器不用向客户端返回什么信息的情况。不会刷新页面。
- 206 Partial Content:服务器已经完成了部分GET请求(客户端进行了范围请求)。响应报文中包含Content-Range指定范围的实体内容
3xx:重定向
- 301 Moved Permanently:永久重定向,表示请求的资源已经永久的搬到了其他位置。
- 302 Found:临时重定向,表示请求的资源临时搬到了其他位置
- 303 See Other:临时重定向,应使用GET定向获取请求资源。303功能与302一样,区别只是303明确客户端应该使用GET访问
- 307 Temporary Redirect:临时重定向,和302有着相同含义。POST不会变成GET
- 304 Not Modified:表示客户端发送附带条件的请求(GET方法请求报文中的IF…)时,条件不满足。返回304时,不包含任何响应主体。虽然304被划分在3XX,但和重定向一毛钱关系都没有
4xx:客户端错误
- 400 Bad Request:客户端请求有语法错误,服务器无法理解。(前台向后台传递参数时可能发生)
- 401 Unauthorized:请求未经授权,这个状态代码必须和WWW-Authenticate报头域一起使用。
- 403 Forbidden:服务器收到请求,但是拒绝提供服务
- 404 Not Found:请求资源不存在。比如,输入了错误的url
- 405 表示servlet请求的服务方法没有找到。
- 415 Unsupported media type:不支持的媒体类型
5xx:服务器端错误,服务器未能实现合法的请求。
-
500 Internal Server Error:服务器发生不可预期的错误。
不仅要去看那个500错误,还要去看浏览器或者服务器给我们提供的别的错误信息,通过这些信息共同去确定错误的位置。
-
503 Server Unavailable:服务器当前不能处理客户端的请求,一段时间后可能恢复正常,
响应头:
③响应报文头,也是由多个属性组成
响应头也是用键值对k:v;
服务器通过响应头来控制浏览器的行为,不同的头浏览器操作不同
常见请求头 | 描述 |
---|---|
*Location* | 指定响应的路径,需要与状态码302配合使用,完成跳转。 |
Content-Type | 响应正文的类型(MIME类型)取值:text/html;charset=UTF-8 |
*Content-Disposition* | 通过浏览器以下载方式解析正文取值:attachment;filename=xx.zip |
*Set-Cookie* | 与会话相关技术。服务器向浏览器写入cookie |
Content-Encoding | 服务器使用的压缩格式取值:gzip |
Content-length | 响应正文的长度 |
Refresh | 定时刷新,格式:秒数;url=路径。url可省略,默认值为当前页。取值:3;url=www.itcast.cn //三秒刷新页面到www.itcast.cn |
Server | 指的是服务器名称,默认值:Apache-Coyote/1.1。可以通过conf/server.xml配置进行修改。<Connector port=“8080” … server=“itcast”/> |
Last-Modified | 服务器通知浏览器,文件的最后修改时间。与If-Modified-Since一起使用。 |
Cache-Control | 响应输出到客户端后,服务端通过该报文头属告诉客户端如何控制响应内容的缓存。常见的取值有常见的取值有private、public、no-cache、max-age,no-store,默认为private。缓存时间为31536000秒(365天) |
响应体:
④响应报文体,服务器发送给浏览器的正文,即我们真正要的“干货” ;
响应体,响应体是服务器回写给客户端的页面正文,浏览器将正文加载到内存,然后解析渲染 显示页面内容。
sql注入:PreparedStatement 动态
Statement 静态
Statement 静态sql
查询数据:"select * from student where id = " + id;
"select * from student where id = " + id = 5; drop table t_student;
此时id这个数据是从前台发送过来的,假如说我前台直接发送一个id,此时没有问题,程序正常执行,但是我如果发送 以下数据,会导致,前边的查询语句执行后,还会继续执行删除表的语句。大致数据库就崩了。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SfQ14B9r-1641428113311)(assets/image-20201207102126436.png)]
第二节:会话技术 cookie 和session
为什么要用cookie和session
因为http协议是一个无连接,无状态的协议,每一次请求之间互相独立,互不关联,所以无法在多次请求之间共享数据,cookie和session解决的问题就是共享数据问题。
一次会话中包含多次请求和响应。
什么是一次会话:浏览器第一次给服务器发送请求开始—》到任意一方断开为止。
功能:在一次会话的范围内,多次请求之间共享数据。
2.1 cookie技术
概念:客户端会话技术:将数据保存到客户端
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SGx39RJE-1641428113312)(assets/image-20201207110608737.png)]
1.快速入门:
步骤:
1.创建cookie对象,绑定数据
new Cookie(String name,String value);
2.响应cookie对象到浏览器
①从服务器端响应到客户端:response.addCookie();
②从客户端也可以直接设置cookie:
3.获取cookie对象,获取数据。
Cookie[] cookies = request.getCookies()
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rqgO7fPY-1641428113312)(assets/image-20201207115935057.png)]
2.cookie原理:
通过Http协议中的响应头set-cookie和请求头cookie完成的。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-c62siBiq-1641428113313)(assets/image-20201207111412625.png)]
3. cookie的注意事项
-
一次可不可以发送多个cookie
可以。
-
cookie在浏览器中的保存时间
- 默认情况下:当浏览器关闭后cookie被销毁
- 持久化存储:
- **setMaxAge(int seconds)**方法
- 正数:将cookie存储到硬盘中,数字大小就是cookie的存活时间 以秒计
- 负数:默认
- **setMaxAge(int seconds)**方法
-
cookie中能不能存中文
- tomcat8之前不行,tomcat8之后可以
-
cookie的共享问题
-
默认设置当前项目目录
setPath("/虚拟目录");
/day03
只要请求的路径在 上边虚拟目录下都可以访问。
-
如果需要在多个项目之间共享,可以设置
setPath("/");
自己测试:新建项目部署到同一个tomcat下。
-
4. cookie的特点:
1.存储数据在浏览器端
2.浏览器对单个cookie 的数据大小有限制(4k),同一个域名下的总cookie个数也有限制(<20)
- 数据也有限制,只能是字符串,特殊字符也不能有。
使用:免登录操作(记住密码)。
2.2 session
是服务器端共享数据。
-
概念:在一次会话的多次请求之间共享数据,将数据保存在服务器端session对象中。
-
基操:
-
1.获取session对象
request.getSession();==>getSession(true); 直接获取session,如果session不存在,就创建一个。
request.getSession(false); 获取已经存在的session对象,如果不存在获取到null。
-
2.使用session对象
setAttribute(String name,Object value);设置session的值
getAttribute(name);根据session的名字,获取session的值
removeAttribute(String name);删除session如果使用请求的转发,可以通过request将数据转发到jsp页面,但是导致页面的路径不会改变,如果使用重定向,可以改变地址栏路径,但是不能通过request传输数据,所以此时用session进行数据的共享。 request 在**一次请求**之间共享数据。 session在**一次对话**(多次请求)之间共享数据。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Fx7gC9UT-1641428113314)(assets/image-20201208095851780.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0GPXMQEp-1641428113314)(assets/image-20201208095936513.png)]
-
-
session原理分析
session的实现是依赖于cookie的
-
**session的注意事项 **
-
当客户端关闭后,再次打开两次获取的session不是同一个。如果想保证是同一个,可以通过设置cookie来完成。
Cookie c = new Cookie("JSESSIONID",session.getId()); c.setMaxAge(60*60); response.addCookie(c); 自己练习!
-
客户端不关闭,服务器关闭,两次获取的session不是同一个。
但是要确保数据不丢失。
了解:
session钝化:在服务器正常关闭之前将数据序列化到硬盘上。
session活化:在服务器启动过后将序列化到硬盘上的文件再读取到session对象中。
-
-
session的失效时间
1.服务器关闭
2.session对象调用invalidate()方法 手动失效
3.session默认失效时间是30分钟
可以配置修改 tomcat—>conf目录—》web.xml—>session-config
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zPsekJ22-1641428113315)(assets/image-20201208102037951.png)]
-
session的特点
1.session用于在一次会话的多次请求的共享数据,在服务器端。
2.session可以存储任意数据类型,任意大小的数据。
自己总结以上知识点。
3.cookie和session的区别:
A:session存在服务器端;cookie存在客户端
B:session由服务器自己创建;Cookie也是服务器写进去响应到客户端
C:session存的对象,每一个客户端独立;Cookie存的是字符串,也是每一个客户端独享
D:客户端访问服务器,会带着一个jsessionid,如果没有服务器自动创建一个响应给客户端,下次请求带着,session靠jsessionid进行识别用户。
总结:
http协议 超文本传输协议:
request请求 :请求报文:请求行(URL,协议版本。。。),请求头,请求体
response响应:响应报文:响应行(协议版本 。。。),响应头,响应体
cookie技术:
客户端会话技术,数据存储在浏览器中–》持久化存储–》硬盘上
原理:客户端----(第一次请求)—》服务器–响应cookie–》存储到浏览器中
客户端—第二次请求(携带cookie)—》服务器—》可以取出cookie信息
整5遍以上。10遍
1.session用于在一次会话的多次请求的共享数据,在服务器端。
2.session可以存储任意数据类型,任意大小的数据。
自己总结以上知识点。
3.cookie和session的区别:
A:session存在服务器端;cookie存在客户端
B:session由服务器自己创建;Cookie也是服务器写进去响应到客户端
C:session存的对象,每一个客户端独立;Cookie存的是字符串,也是每一个客户端独享
D:客户端访问服务器,会带着一个jsessionid,如果没有服务器自动创建一个响应给客户端,下次请求带着,session靠jsessionid进行识别用户。