1. HTTP 常用的请求方式,区别和用途?

  • GET: 发送请求,获取服务器数据
  • POST:向URL指定的资源提交数据
  • PUT:向服务器提交数据,以修改数据
  • HEAD:请求页面的首部,获取资源的元信息
  • DELETE:删除服务器上的某些资源。
  • CONNECT:建立连接隧道,用于代理服务器;
  • OPTIONS:列出可对资源实行的请求方法,常用于跨域
  • TRACE:追踪请求-响应的传输路径

2. HTTP 常用的状态码及含义?

  • 1xx:接受的请求正在处理 (信息性状态码)
  • 2xx:表示请求正常处理完毕 (成功状态码)
  • 3xx:表示重定向状态,需要重新请求 (重定向状态码)
  • 4xx:服务器无法处理请求 (客户端错误状态码)
  • 5xx:服务器处理请求出错 (服务端错误状态码)

常用状态码如下:

  • 101 切换请求协议,从 HTTP 切换到 WebSocket
  • 200 请求成功,表示正常返回信息。
  • 301 永久重定向,会缓存
  • 302 临时重定向,不会缓存
  • 400 请求错误
  • 403 服务器禁止访问
  • 404 找不到与 URI相匹配的资源。
  • 500 常见的服务器端错误

3. 从浏览器地址栏输入url到显示主页的过程

  1. DNS解析,查找真正的ip地址
  2. 与服务器建立TCP连接
  3. 发送HTTP请求
  4. 服务器处理请求并返回HTTP报文
  5. 浏览器解析渲染页面
  6. 连接结束

4. 如何理解HTTP协议是无状态的

每次HTTP请求都是独立的,无相关的,默认不需要保存上下文信息的。我们来看个便于理解的例子:

有状态:

  • A:今天吃啥子?
  • B:罗非鱼!
  • A:味道怎么样呀?
  • B:还不错,好香。

无状态:

  • A:今天吃啥子?
  • B:罗非鱼!
  • A:味道怎么样呀?
  • B:?啊?啥?什么鬼?什么味道怎么样?

加下cookie这玩意

  • A:今天吃啥子?
  • B:罗非鱼
  • A:你今天吃的罗非鱼味道怎么样呀?
  • B:还不错,好香。

5. HTTP 1.0,1.1,2.0 的版本区别

HTTP 1.0

  • HTTP 1.0规定浏览器与服务器只保持短暂的连接,浏览器的每次请求都需要与服务器建立一个TCP连接,服务器完成请求处理后立即断开TCP连接。它也可以强制开启长链接,例如设置Connection: keep-alive 这个字段

HTTP 1.1

  • 引入了长连接,即TCP连接默认不关闭,可以被多个请求复用
  • 引入了管道机制(pipelining),即在同一个TCP连接里面,客户端可以同时发送多个请求。
  • 缓存处理,引入了更多的缓存控制策略,如Cache-ControlEtag/If-None-Match等。
  • 错误状态管理,新增了24个错误状态响应码,如409表示请求的资源与资源的当前状态发生冲突。

HTTP 2

  • 采用了多路复用,即在一个连接里,客户端和浏览器都可以同时发送多个请求或回应,而且不用按照顺序一一对应。
  • 服务端推送,HTTP 2允许服务器未经请求,主动向客户端发送资源

6. 说下计算机网络体系结构

计算机网路体系结构主要有ISO七层模型、TCP/IP 四层模型、五层体系结构

计算机网络体系结构

ISO七层模型

ISO七层模型是国际标准化组织(ISO)制定的一个用于计算机或通信系统间互联的标准体系。

  • 应用层:网络服务与最终用户的一个接口,协议有:HTTP FTP TFTP SMTP SNMP DNS TELNET HTTPS POP3 DHCP
  • 表示层:数据的表示、安全、压缩。
  • 会话层:建立、管理、终止会话。对应主机进程,指本地主机与远程主机正在进行的会话
  • 传输层:定义传输数据的协议端口号,以及流控和差错校验。协议有:TCP UDP,数据包一旦离开网卡即进入网络传输层
  • 网络层:进行逻辑地址寻址,实现不同网络之间的路径选择。协议有:ICMP IGMP IP(IPV4 IPV6)
  • 数据链路层:建立逻辑连接、进行硬件地址寻址、差错校验等功能。
  • 物理层:建立、维护、断开物理连接。

TCP/IP 四层模型

  • 应用层:对应于OSI参考模型的(应用层、表示层、会话层),为用户提供所需要的各种服务,例如:FTP、Telnet、DNS、SMTP等
  • 传输层:对应OSI的传输层,为应用层实体提供端到端的通信功能,保证了数据包的顺序传送及数据的完整性。定义了TCP和UDP两层协议。
  • 网际层:对应于OSI参考模型的网络层,主要解决主机到主机的通信问题。三个主要协议:网际协议(IP)、互联网组管理协议(IGMP)和互联网控制报文协议(ICMP)
  • 网络接口层:与OSI参考模型的数据链路层、物理层对应。它负责监视数据在主机和网络之间的交换。

五层体系结构

  • 应用层:通过应用进程间的交互来完成特定网络应用。对应于OSI参考模型的(应用层、表示层、会话层),应用层协议很多,如域名系统DNS,HTTP协议,支持电子邮件的 SMTP协议等等。我们把应用层交互的数据单元称为报文。
  • 传输层:负责向两台主机进程之间的通信提供通用的数据传输服务。对应OSI参考模型的传输层,协议有传输控制协议 TCP 和 用户数据协议 UDP。
  • 网络层:对应OSI参考模型的的网络层
  • 数据链路层:对应OSI参考模型的的数据链路层
  • 物理层:对应OSI参考模型的的物理层层。在物理层上所传送的数据单位是比特。 物理层(physical layer)的作用是实现相邻计算机节点之间比特流的透明传送,尽可能屏蔽掉具体传输介质和物理设备的差异。

7. POST和GET有哪些区别?

  • 请求参数:GET 把参数包含在 URL 中,用&连接起来;POST 通过 request body 传递参数。
  • 请求缓存:GET请求会被主动Cache,而POST请求不会,除非手动设置。
  • 收藏为书签:GET请求支持收藏为书签,POST请求不支持。
  • 安全性:POST比GET安全,GET请求在浏览器回退时是无害的,而POST会再次请求。
  • 历史记录:GET请求参数会被完整保留在浏览历史记录里,而POST中的参数不会被保留。
  • 编码方式:GET请求只能进行url编码,而POST支持多种编码方式。
  • 参数数据类型:GET只接受ASCII字符,而POST没有限制数据类型。
  • 数据包: GET产生一个TCP数据包;POST可能产生两个TCP数据包。

8. 在交互过程中如果数据传送完了,还不想断开连接怎么办,怎么维持?

在 HTTP 中响应体的 Connection 字段指定为keep-alive

9. HTTP 如何实现长连接?在什么时候会超时?

HTTP 如何实现长连接?

  • HTTP分为长连接和短连接,其实本质上说的是TCP的长短连接。TCP连接是一个双向的通道,它是可以保持一段时间不关闭的,因此TCP连接才有真正的长连接和短连接这一个说法。
  • 长连接是指的是TCP连接,而不是HTTP连接。
  • TCP 长连接可以复用一个TCP连接来发起多次HTTP请求,这样可以减少资源消耗,比如一次请求HTML,短连接可能还需要请求后续的JS/CSS/图片等

要实现HTTP长连接,在响应头设置Connection为keep-alive,HTTP1.1 默认是长连接,而HTTP 1.0协议也支持长连接,但是默认是关闭的。

在什么时候会超时呢?

  • HTTP 一般会有httpd守护进程,里面可以设置 keep-alive timeout,当 tcp 链接闲置超过这个时间就会关闭,也可以在HTTP的header里面设置超时时间
  • TCP 的 keep-alive 包含三个参数,支持在系统内核的 net.ipv4 里面设置:当 TCP 连接之后,闲置了 tcp_keepalive_time,则会发生侦测包,如果没有收到对方的 ACK,那么会每隔 tcp_keepalive_intvl 再发一次,直到发送了 tcp_keepalive_probes,就会丢弃该连接。
  1. tcp_keepalive_intvl = 15
  2. tcp_keepalive_probes = 5
  3. tcp_keepalive_time = 1800

10. 讲一下HTTP与HTTPS 的区别。

HTTP,超文本传输协议,英文是Hyper Text Transfer Protocol,是一个基于TCP/IP通信协议来传递数据的协议。HTTP存在这几个问题

  • 请求信息明文传输,容易被窃听截取。
  • 数据的完整性未校验,容易被篡改
  • 没有验证对方身份,存在冒充危险

HTTPS就是为了解决HTTP存在问题的。HTTPS,英文是HyperText Transfer Protocol over Secure Socket Layer,可以这么理解Https是身披SSL(Secure Socket Layer)的HTTP,即HTTPS 协议 = HTTP+SSL/TLS。通过 SSL证书来验证服务器的身份,并为浏览器和服务器之间的传输数据进行加密

它们主要区别:

  • 数据是否加密: Http 是明文传输,HTTPS是密文
  • 默认端口: Http默认端口是80,Https默认端口是443
  • 资源消耗:和HTTP通信相比,Https通信会消耗更多的CPU和内存资源,因为需要加解密处理;
  • 安全性: http不安全,https比较安全。

11 . Https 流程是怎样的?

  • HTTPS = HTTP + SSL/TLS,即用SSL/TLS对数据进行加密和解密,Http进行传输。
  • SSL,即Secure Sockets Layer(安全套接层协议),是网络通信提供安全及数据完整性的一种安全协议。
  • TLS,即Transport Layer Security(安全传输层协议),它是SSL 3.0的后续版本。

Https工作流程

  1. 用户在浏览器里输入一个https网址,然后连接到server的443端口。
  2. 服务器必须要有一套数字证书,可以自己制作,也可以向组织申请,区别就是自己颁发的证书需要客户端验证通过。这套证书其实就是一对公钥和私钥。
  3. 服务器将自己的数字证书(含有公钥)发送给客户端。
  4. 客户端收到服务器端的数字证书之后,会对其进行检查,如果不通过,则弹出警告框。如果证书没问题,则生成一个密钥(对称加密),用证书的公钥对它加密。
  5. 客户端会发起HTTPS中的第二个HTTP请求,将加密之后的客户端密钥发送给服务器。
  6. 服务器接收到客户端发来的密文之后,会用自己的私钥对其进行非对称解密,解密之后得到客户端密钥,然后用客户端密钥对返回数据进行对称加密,这样数据就变成了密文。
  7. 服务器将加密后的密文返回给客户端。
  8. 客户端收到服务器发返回的密文,用自己的密钥(客户端密钥)对其进行对称解密,得到服务器返回的数据。

12. 对称加密与非对称加密有什么区别

对称加密:加密和解密使用相同密钥的加密算法。

对称加密

非对称加密:非对称加密算法需要两个密钥(公开密钥和私有密钥)。公钥与私钥是成对存在的,如果用公钥对数据进行加密,只有对应的私钥才能解密。

非对称加密

13. 什么是XSS攻击,如何避免?

XSS 攻击,全称跨站脚本攻击(Cross-Site Scripting),这会与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,因此有人将跨站脚本攻击缩写为XSS。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS攻击一般分三种类型:存储型 、反射型 、DOM型XSS

XSS是如何攻击的?

拿反射型举个例子吧,流程图如下:

如何解决XSS攻击问题

  • 不相信用户的输入,对输入进行过滤,过滤标签等,只允许合法值。
  • HTML 转义
  • 对于链接跳转,如 <a href="xxx" 等,要校验内容,禁止以script开头的非法链接。
  • 限制输入长度等等

14. 请详细介绍一下TCP 的三次握手机制

TCP三次握手

开始客户端和服务器都处于 CLOSED 状态,然后服务端开始监听某个端口,进入 LISTEN 状态

  • 第一次握手(SYN=1, seq=x),发送完毕后,客户端进入 SYN_SEND 状态
  • 第二次握手(SYN=1, ACK=1, seq=y, ACKnum=x+1), 发送完毕后,服务器端进入 SYN_RCV状态。
  • 第三次握手(ACK=1,ACKnum=y+1),发送完毕后,客户端进入 ESTABLISHED 状态,当服务器端接收到这个包时

15. TCP握手为什么是三次,不能是两次?不能是四次?

TCP握手为什么是三次呢?为了方便理解,我们以谈恋爱为个例子:两个人能走到一起,最重要的事情就是相爱,就是我爱你,并且我知道,你也爱我,接下来我们以此来模拟三次握手的过程:

为什么握手不能是两次呢?

如果只有两次握手,女孩子可能就不知道,她的那句我也爱你,男孩子是否收到,恋爱关系就不能愉快展开。

为什么握手不能是四次呢?

因为握手不能是四次呢?因为三次已经够了,三次已经能让双方都知道:你爱我,我也爱你。而四次就多余了。

16. TCP四次挥手过程?

TCP四次挥手过程

  1. 第一次挥手(FIN=1,seq=u),发送完毕后,客户端进入FIN_WAIT_1 状态
  2. 第二次挥手(ACK=1,ack=u+1,seq =v),发送完毕后,服务器端进入CLOSE_WAIT 状态,客户端接收到这个确认包之后,进入 FIN_WAIT_2 状态
  3. 第三次挥手(FIN=1,ACK1,seq=w,ack=u+1),发送完毕后,服务器端进入LAST_ACK 状态,等待来自客户端的最后一个ACK。
  4. 第四次挥手(ACK=1,seq=u+1,ack=w+1),客户端接收到来自服务器端的关闭请求,发送一个确认包,并进入 TIME_WAIT状态,等待了某个固定时间(两个最大段生命周期,2MSL,2 Maximum Segment Lifetime)之后,没有收到服务器端的 ACK ,认为服务器端已经正常关闭连接,于是自己也关闭连接,进入 CLOSED 状态。服务器端接收到这个确认包之后,关闭连接,进入 CLOSED 状态。

17. TCP四次挥手过程中,客户端为什么需要等待 2MSL,才进入CLOSED状态

2MSL,2 Maximum Segment Lifetime,即两个最大段生命周期

  • 1个 MSL 保证四次挥手中主动关闭方最后的 ACK 报文能最终到达对端
  • 1个 MSL 保证对端没有收到 ACK 那么进行重传的 FIN 报文能够到达

18. 为什么需要四次挥手?

举个例子吧

小明和小红打电话聊天,通话差不多要结束时,小红说“我没啥要说的了”,小明回答“我知道了”。但是小明可能还会有要说的话,小红不能要求小明跟着自己的节奏结束通话,于是小明可能又叽叽歪歪说了一通,最后小明说“我说完了”,小红回答“知道了”,这样通话才算结束。