# HTTP协议理解

## 网络协议结构与HTTP协议

### 网络OSI模型

        网络OSI（Open System Interconnection）协议规范分成7层：
            |-物理层
            |-链路层
            |-网络层
            |-传输层
            |-会话层
            |-表示层
            |-应用层
        
        一般从开发协议来说分成3层（链路层与网络层看成一起，也是常见的高层，中层与低层）或者4层。
            |-链路层（ETHERNET协议：ARP）
            |-网络层（IP等）
            |-传输层（TCP，UDP等）
            |-应用层（HTTP，FTP，SMTP，TELNET等）

### HTTP协议层    
    
        HTTP协议是应用协议，他下面依赖的是TCP传输协议，TCP依赖的是IP协议，IP协议依赖的是链路层ARP（Address Resolution Protocol）协议。
        HTTP
           |
         TCP
           |
          IP
           |
         ARP  

1. HTTP协议特点：
    
        HTTP协议是基于TCP协议的应用协议，是属于应用层的面向对象的协议，浏览器实现的就是HTTP协议。它于1990年提出，目前使用的是HTTP/1.0与1.1，HTTP-NG(Next Generation of HTTP)的建议已经提出。
        
        HTTP协议的主要特点：
        
            1.基于TCP协议。
            
            2.简单快速，协议是基于文本的：
                客户向服务器请求服务时，只需传送请求方法和路径。由于HTTP协议简单，使得HTTP服务器的程序规模小，因而通信速度很快。
            
            3.灵活：
                HTTP允许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。
            
            4.无连接：
                服务器处理完客户的请求，并收到客户的应答后，即断开连接。
            
            5.无状态：
                HTTP协议是无状态协议。不识别连接者的状态。



## HTTP协议格式  
        
        HTTP协议是Web浏览器与Web服务器之间的对话协议，HTTP协议可以根据分工分成请求协议与响应协议两个部分：
            |- 请求协议：Web浏览器向Web服务器发起请求使用的协议；
            |- 响应协议：Web服务器对Web浏览器的请求进行响应的协议；
            
        不管是请求协议还是响应协议，HTTP协议格式从结构上分成4格部分，下面我们使用Socket通信程序来说明。  

1. HTTP协议的，主要有如下三个部分构成。
        |-  
        |-  HTTP URL
        |-  HTTP请求   
        |-  HTTP响应
        
        

2. HTTP/1.0与1.1

        |-    HTTP/1.0
            这是第一个在通讯中指定版本号的 HTTP 协议版本，至今仍被广泛采用，特别是在代理服务器中。
        
        |-    HTTP/1.1
            当前版本。持久连接被默认采用，并能很好地配合代理服务器工作。还支持以管道方式在同时发送多个请求，以便降低线路负载，提高传输速度。
            1.1对比1.0的主要区别特点
                |-  1 缓存处理
                |-  2 带宽优化及网络连接的使用
                |-  3 错误通知的管理
                |-  4 消息在网络中的发送
                |-  5 互联网地址的维护
                |-  6 安全性及完整性


3. HTTP URL介绍
        
        也称：通用资源定位符
        
        格式组成：协议，主机，资源路径
                |-  http://host[":"port] [abs_path]
                |-  协议：常见的协议：HTTP，HTTPS，FTP，本地文件，RMI等。
                |-  主机：包含IP或者域名，端口
                |-资源路径：
                        使用 / 分隔
                        资源路径可以后缀?开始的字符串，称为querystring（查询字符串，类似SQL语句作用）。Querystring可以使用&合并多个值对。
                        
                        
        例子：一般浏览器都支持
            |-    WEB：http://baidu.com/index.html
            |-    WEB：http:// 220.181.111.85:80/index.html?name=louis&favor=football。
            |-    FTP：ftp:// 220.181.111.85/publish/a.txt
            |-    FILE：file:///root/codes	


### HTTP协议请求格式 

        下面使用socket编程来实现一个程序模拟web服务器，并抓取浏览器发送请求数据，通过这些请求数据来认知HTTP协议的请求格式。
        下面例子使用的技术是socket通信编程技术，因为HTTP是建立在TCP之上，所以下面在用TCP编程模式，其中对多用户处理，采用多路并发的编处理技术。

#### 接收显示浏览器请求数据的程序实现

In [2]:
# coding =utf-8
import socket   # socket编程模块
import select   # 多路复用模块
import sys      # 系统调用
import signal
import os

# 方便发送信号灭掉这个进程
print('本进程ID：%d，可以使用kill灭之，如果在ipython中不方便结束的话！' % os.getpid())


# 这里处理ctrl+c的信号（方便ctrl+c退出）
def handle_int(signum, handler):
    print('程序中断退出，信号：%d' % signum, '处理器是：{}'.format(handler))
    sys.exit(0)


# 绑定对ctrl+c信号的处理
signal.signal(signalnum=signal.SIGINT, handler=handle_int)

# 下面代码为了清晰思路，没有做任何代码的异常处理
# 多路复用数据
io_inputs = []
io_outputs = []
io_error = []
# 创建socket
server_socket = socket.socket(
    socket.AF_INET,         # 网络地址族：常用的是internet网地址格式（IP地址）
    socket.SOCK_STREAM,     # 网络通信方式：流与报文两种
    socket.IPPROTO_TCP)     # 通信协议：数据包的格式

# 绑定地址
server_address = ('', 9999)   # 地址包含IP地址与端口地址
server_socket.bind(server_address)
# 监听
server_socket.listen(2)

# 把server_socket加入多路复用IO中
io_inputs.append(server_socket)

# 开始监控多路复用异步IO（包含server_socket的连接，新连接的也加入，短线的删除）
while True:
    print('开始多路复用IO监控......')
    ready_inputs, ready_outputs, ready_error = select.select(
        io_inputs, io_outputs, io_error, None)
    # 检查返回值，并相应的处理,这里我们只接收，不发送，所以不处理输出IO
    for fd in ready_inputs:
        # 服务器IO与每个客户的IO分开处理
        if fd == server_socket:   # 服务器IO
            # 对服务器IO的护处理：接收客户连接
            client_socket, client_address = fd.accept()  # 这里需要处理异常，就是服务器挂掉，退出应用
            print('客户连接：IP=%s,PORT=%d' % client_address)
            # 把新连接的客户加入多路复用监控处理
            io_inputs.append(client_socket)
        else:   # 每个客户的IO
            # 对客户IO是接收数据请求：请求都是HTTP协议的请求协议
            while True:
                buffer = fd.recv(1024*4, 0)     # 接收缓冲大小与接收标记
                if not buffer:
                    fd.close()                  # 关闭
                    io_inputs.remove(fd)        # 客户退出
                    print('客户连退出')
                    break
                else:
                    print(buffer.decode('UTF-8'))

# 上述代码可以粘贴到pycharm等IDE环境中运行，也可以在这儿运行

本进程ID：512，可以使用kill灭之，如果在ipython中不方便结束的话！
开始多路复用IO监控......
客户连接：IP=127.0.0.1,PORT=50007
开始多路复用IO监控......
GET / HTTP/1.1
Host: 127.0.0.1:9999
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Upgrade-Insecure-Requests: 1
Cookie: _xsrf=2|f97c87ab|aa4e0381b08224325486cb739b6d5c6a|1547777015
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.2 Safari/605.1.15
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
Connection: keep-alive


客户连退出
开始多路复用IO监控......
程序中断退出，信号：2 处理器是：<frame object at 0x104418e48>


SystemExit: 0

  warn("To exit: use 'exit', 'quit', or Ctrl-D.", stacklevel=1)


#### HTTP请求协议的格式说明
>GET / HTTP/1.1     
>Host: 127.0.0.1:9999     
>Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8     
>Upgrade-Insecure-Requests: 1     
>Cookie: _xsrf=2|f97c87ab|aa4e0381b08224325486cb739b6d5c6a|1547777015     
>User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.2 Safari/605.1.15      
>Accept-Language: zh-cn      
>Accept-Encoding: gzip, deflate      
>Connection: keep-alive     
>空行      
>请求体      


    HTTP请求协议由4各部分构成：
    
            |-   请求行：GET / HTTP/1.1   
            
            |-   请求头：Host: 127.0.0.1:9999  
            
            |-   空行：   表示请求头结束
            
            |-   响应体： 表示发送给服务器的数据
            

实际上，上面每一行结束都是使用两个非可视化字符表示结束：'\r\n'。这是属于HTTP协议的一部分。

1. 请求行

        GET / HTTP/1.1
    
        由三个部分构成
            |-    GET：        请求方法
            |-    /：             请求资源
            |-    HTTP/1.1：  请求协议与版本   
        
        浏览器默认发起的请求方法都是GET。
        用户可以根据自身情况，指定请求资源：

2. 请求头：

        Host: 127.0.0.1:9999
        Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
        Upgrade-Insecure-Requests: 1
        Cookie: xsrf=2|f97c87ab|aa4e0381b08224325486cb739b6d5c6a|1547777015
        User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 1012_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.2 Safari/605.1.15
        Accept-Language: zh-cn
        Accept-Encoding: gzip, deflate
        Connection: keep-alive
        
        由多行构成，每行由两个部分构成：
            |-      HEADER键：表示数据的用途
            |-      HEADER值：发起请求的数据
        
        所有的HEADER的名称由HTTP协议规定，HEADER值的格式由协议规定。

3. 空行

        请求头后面紧跟一个空行，表示请求数据描述完毕；空行后面紧跟的是请求的用户数据。

4. 用户数据

        用户数据紧跟在空行后面，比如用户登录的用户名与密码等。
        用户数据在某些请求方法是没有的，比如GET请求方法的请求协议就没有数据行。因为GET主要目的是GET数据，不是发送数据。GET方法传递数据使用QueryString格式。
        POST方法的数据行就存在，因为POST请求方式就是上传数据，比如用户登录信息，上传文件等。POST方法的目的就是POST数据。

**作业：**
        
        使用HTML写一个页面，使用GET，POST，PUT，TRACE等方法发起请求，并观察HTTP请求协议的格式。

#### HTTP请求方法说明
    
        下面介绍的请求方法，其中GET，POST与HEAD是必须实现的，其他的可选实现。

1. GET方法
    
        GET：请求指定的页面信息，并返回实体主体。 

2. POST方法

        POST： 请求服务器接受所指定的文档作为对所标识的URI的新的从属实体。 

3. HEAD方法
        
        HEAD： 只请求页面的首部。 

4. PUT方法
        
        PUT： 从客户端向服务器传送的数据取代指定的文档的内容。 

4. DELETE方法：
    
        DELETE： 请求服务器删除指定的页面。 

5. OPTIONS方法：

        OPTIONS： 允许客户端查看服务器的性能。 

6. TRACE方法：

        TRACE： 请求服务器在响应中的实体主体部分返回客户端发送的数据。 （回显数据，便于跟踪与测试）

7. 其他方法：

        PATCH： 实体中包含一个表，表中说明与该URI所表示的原内容的区别。 
        MOVE： 请求服务器将指定的页面移至另一个网络地址。 
        COPY： 请求服务器将指定的页面拷贝至另一个网络地址。 
        LINK： 请求服务器建立链接关系。 
        UNLINK： 断开链接关系。 
        WRAPPED： 允许客户端发送经过封装的请求。 
        Extension-mothed：在不改动协议的前提下，可增加另外的方法。 

### HTTP协议响应格式

#### 模拟浏览器发起HTTP请求，实现响应协议数据获取的代码实现

In [1]:
# coding = utf-8
import socket
import signal
import sys
import re


# 这里处理ctrl+c的信号（方便ctrl+c退出）
def handle_int(signum, handler):
    print('程序中断退出，信号：%d' % signum, '处理器是：{}'.format(handler))
    client_socket.close()
    sys.exit(0)


# 绑定对ctrl+c信号的处理
signal.signal(signalnum=signal.SIGINT, handler=handle_int)


server_name = 'www.huanqiu.com'
# 获取IP地址（这个过程不是必须的）
list_info = socket.getaddrinfo(
    host=server_name,
    port=80,
    family=socket.AF_INET,
    type=socket.SOCK_STREAM,
    proto=socket.IPPROTO_TCP,
    flags=socket.AI_ALL)  # socket.AI_***参数的一部分
for _, _, _, _, address in list_info:
    print('IP：%s，PORT：%d' % address)

# 创建socket
client_socket = socket.socket(
    socket.AF_INET,         # 网络地址族：常用的是internet网地址格式（IP地址）
    socket.SOCK_STREAM,     # 网络通信方式：流与报文两种
    socket.IPPROTO_TCP)     # 通信协议：数据包的格式

# 连接到到服务器（取上面取出的第一个INET地址）
print(list_info[0][-1])
client_socket.connect(list_info[0][-1])  # 没有返回值，需要进行异常处理，这里容易被信号中断

# 发送数据
request_string = ''
request_string += 'GET / HTTP/1.1\r\n'
request_string += 'Host: %s:9999\r\n' % server_name    # 可以替换成IP地址
request_string += 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n'
request_string += 'Upgrade-Insecure-Requests: 1\r\n'
request_string += 'Cookie: _xsrf=2|f877d065|146c6a9838e67ba203776913fae34f45|1547796259\r\n'
request_string += 'User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.2 Safari/605.1.15\r\n'
request_string += 'Accept-Language: zh-cn\r\n'
# request_string += 'Accept-Encoding: gzip, deflate\r\n'
request_string += 'Connection: keep-alive\r\n'
request_string += '\r\n'
request_string += '\r\n'

bytes_num = client_socket.send(request_string.encode('UTF-8'))
print('发送成功的字节数：%d' % bytes_num)

# 接收服务器响应的协议数据
header_buffers = b''
while True:
    # 一个子节一个子节读取
    buffer = client_socket.recv(1, 0)    # MSG_**等
    header_buffers += buffer
    # 判定最后四个子节是否是'\r\n\r\n'：表示响应头读完
    last_four_bytes = header_buffers[-4:]   # 取最后四个子节
    if last_four_bytes == b'\r\n\r\n':
        break    # header结束

# 把子节转换为字符串
header_string=header_buffers.decode('utf-8')
print('响应协议头：\n', header_string)
# 获取请求体的长度
regex = r'Content-Length: (\d*?)\r\n'
len_content = re.findall(regex, header_string,re.MULTILINE)
len_content = int(len_content[0])
print('响应正文长度为：{}'.format(len_content))

# 下面读取响应正文
body_buffers = b''
while True:
    buffer = client_socket.recv(1024*10, 0)  # MSG_**等
    body_buffers += buffer
    if len(body_buffers) == len_content:
        break

print('响应体读取完毕！')
body_string = body_buffers.decode('utf-8')
# print(body_string)


IP：42.81.120.110，PORT：80
IP：42.81.120.123，PORT：80
IP：42.81.120.119，PORT：80
('42.81.120.110', 80)
发送成功的字节数：402
响应协议头：
 HTTP/1.1 200 OK
Server: NWS_TCloud_S1
Connection: keep-alive
Date: Sat, 19 Jan 2019 14:41:09 GMT
Cache-Control: max-age=600
Expires: Sat, 19 Jan 2019 14:51:09 GMT
Last-Modified: Sat, 19 Jan 2019 14:30:00 GMT
Content-Type: text/html
Content-Length: 145971
X-NWS-LOG-UUID: 1950543609143247235 07102197e13b4c6b15335e94859e887e
X-Cache-Lookup: Hit From Disktank3
X-Daa-Tunnel: hop_count=1
X-Cache-Lookup: Hit From Inner Cluster 


响应正文长度为：145971
响应体读取完毕！


#### HTTP响应协议的格式说明

>HTTP/1.1 200 OK
>Server: NWS_TCloud_S1
>Connection: keep-alive
>Date: Sat, 19 Jan 2019 14:41:09 GMT
>Cache-Control: max-age=600
>Expires: Sat, 19 Jan 2019 14:51:09 GMT
>Last-Modified: Sat, 19 Jan 2019 14:30:00 GMT
>Content-Type: text/html
>Content-Length: 145971
>X-NWS-LOG-UUID: 1950543609143247235 07102197e13b4c6b15335e94859e887e
>X-Cache-Lookup: Hit From Disktank3
>X-Daa-Tunnel: hop_count=1
>X-Cache-Lookup: Hit From Inner Cluster 
    
    
    HTTP响应协议也是由4各部分构成：
    
            |-   响应行：HTTP/1.1 200 OK
            
            |-   响应头：Server: NWS_TCloud_S1
            
            |-   空行：   表示响应头结束
            
            |-   响应体
            
    与请求协议格式一样，每行结束都是使用'\r\n'表示。

1. 响应行

        响应行由三部分构成：
            
                |- HTTP协议版本：HTTP/1.1
                
                |- 状态码：200
                
                |- 状态描述：OK
        
         其中状态码也是HTTP协议规范的一部分。

2. 响应头

        响应头由多行构成，直到空行表示结束。每行由两个部分构成：
                
                |- 响应头Key： 响应值说明
                |- 响应头Value：响应值
        
        响应头也是HTTP协议的一部分。

3. 空行
    
        空行表示响应头结束。加上最后一个响应头末尾的'\r\n'，一般这个地方有两个'\r\n'，一般作为识别响应头结束的位置或者标记。

4. 响应体
        
        响应体就是响应的正文内容，一般是HTML页面，CSS，JS等，也可以是图片等。
        响应头的长度什么时候结束，一般都在响应头中说明，响应正文的长度使用Content_Length说明：
            
                |-  Content-Length: 145971
        
        一般服务器为了传输的速度，都会响应体进行压缩，为了防止压缩，可以在请求的时候，使用请求头中说明，或者取消压缩相关的请求头说明，比如我们可以取消如下请求头，服务器就不会发送压缩数据。
        
                |-  Accept-Encoding: gzip, deflate    # 在请求头就是表示支持gzip压缩或者deflate压缩格式，可以不指定这个请求，服务器就不在发送压缩数据。
                
        注意：
                有的服务器因为数据太大，会采用分包的方式，分包格式采用独有的分包标记来实现。这里不详细介绍。大家今后碰见了稍微注意下。

#### HTTP响应码说明

    HTTP响应码使用3位数表示
    
    HTTP响应码分成5类：
        |-  1xx ：报告的 -请求被接收到，继续处理
        |-  2xx ：成功 - 被成功地接收（received），理解（understood），接受（accepted）的动作 。
        |-  3xx ：重发 - 为了完成请求必须采取进一步的动作。
        |-  4xx ：客户端出错 - 请求包括错的语法或不能被满足。
        |-  5xx ：服务器出错 - 服务器无法完成显然有效的请求。


1. 1XX响应码

        100  继续
        101  转换协议


2. 2XX响应码
        
        200  OK
        201  已创建
        202  接受
        203  非权威信息
        204  无内容
        205  重置内容
        206  部分内容


3. 3XX响应码
        
        300  多个选择
        301  永久移动
        302  发现
        303  见其它
        304  没有被改变
        305  使用代理
        307 临时重发


4. 4XX响应码
        
        400  坏请求
        401  未授权的
        402  必要的支付
        403  禁用
        404  没有找到
        405  方式不被允许
        406  不接受的
        407  需要代理验证
        408  请求超时
        409  冲突
        410  不存在
        411  长度必需
        412 先决条件失败
        413  请求实体太大
        414  请求URI太大
        415  不被支持的媒体类型
        416  请求的范围不满足
        417  期望失败


5. 5XX响应码

        500  服务器内部错误
        501  不能实现
        502  坏网关
        503  服务不能获得
        504  网关超时
        505  HTTP版本不支持


## HTTP常见头说明 

### HTTP请求头说明

1. Accept


>Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9, 
>            text/plain;q=0.8, video/x-mng,image/png,image/jpeg,image/gif;q=0.2, 
>            text/css,*/*;q=0.1 s
    
        Accept消息报头：告诉服务器，请求者可以接受的内容类型与格式。
            
            |-    text/xml表示请求内容是text文本，子类型是xml格式。子类型使用+指定多个混合， */*表示其他任意其他内容类型与格式， 每个类型之间使用逗号分隔。
            
            |-    在内容类型与格式后可以使用分号隔开指定内容类型提供的优先级别q=优先级别，优先级别在0到1之间的数。字母q表示quality 品质。
            
    
        其中类型的支持由浏览器决定。但是类型的定义由MIMETYPE定义有兴趣可以扩展MIME-TYPE的知识点。
        MIME-TYPE的知识扩展可以参考：
            |- http://www.w3school.com.cn/media/media_mimeref.asp
        不过常用的MIME-TYPE有：
            |- Text
            |- Image
            |- Audio
            |- Video
            |- Application


2. Accept-Charset
    
        指定请求数据的字符编码
```
Accept-Charset: ISO-8859-1, utf-8;q=0.66, *;q=0.66 
```
        
        对我们来说常见的字符编码：
            |-    GB2312：标准汉字编码规范
            |-    GBK：扩展汉字编码规范
            |-    UTF-8：是一种针对Unicode的可变长度字符编码，又称万国码
            |-    ISO-8859-1：西文编码



3.  Accept-Encoding
        
        指定请求的数据压缩格式
```
Accept-Charset: ISO-8859-1, utf-8;q=0.66, *;q=0.66 
```

        用于优化数据传输的大小。
        可以指定的压缩编码格式：
             identity：默认值，不采用压缩
             gzip：用于UNIX系统的文件压缩，扩展名.gz
             deflate： 同时使用了LZ77算法与哈夫曼编码的一个无损数据压缩算法
             compress： 古老的 unix 档案压缩指令，压缩后的档案会加上 .Z扩展名。

4. Accept-Language 
    
        告诉服务器，请求端可以使用的语言参考
```
Accept-Language: zh-CN 
```
        语言的格式：
             语言-地区
             
        对我们来说比较常用的语言：
             en	：英文	 en-US	：美国英语
             zh	：汉语	 zh-CN	：大陆地区汉语


5. Authorization/Proxy-Authorization 
        
        传递授权信息给服务器/代理服务器。
        
```
Authorization: Basic bXluYW1lOm15cGFzcw== 
```
        
        Basic表示授权方式，授权信息的加密算法是Base64，后面紧跟加密的信息。加密信息为name：password格式，使用冒号分隔授权名与授权密码。
        常见加密算法：
            |-    Basic授权方式
            |-    Digest授权方式（容易暴露用户名）
            
```
Authorization: Digest username=“myuser”, 		                         //用户名
               realm=“HTTP Developer‘s Handbook”, 		                 //提示领域
               uri=“/”, 				                                                  //请求资源
               nonce=“a4b8c8d7e0f6a7b2c3d2e4f5a4b7c5d2e7f”, 	//用来产生digest消息
               response=“47d5aaf1b20e5b3483901267a3944737” 	    //加密信息
```

6. Cookie

        传递非用户的数据，用来管理HTTP状态
        
```
Cookie: fname=chris; lname=shiflett
```
        Cookie的值使用分号分隔，每个值是name：value的值对


7. Expect
    
        用来告诉服务器，是否需要继续传递消息主体
        
```
Expect:100-Continue
```
        目前Expect的值只能是100-continue，或者其他扩展。这个选项用来提升访问性能，用于客户端判定服务器是否愿意接受客户端发来的消息主体，（在有些情况下，如果服务器拒绝查看消息主体，这时客户端发送消息主体是不合适的或会降低效率。 ）
        注意：
            如果服务器不能满足任何expectation值，服务器必须以417（期望失败）状态码响应，或者如果服务器满足请求时遇到其它问题，服务器必须发送4xx状态码。
            该HEAD在有的代理服务器没有实现，会导致显示不正常，所有选择WEB服务器的一个很重要的测试，就是测试服务器是否支持Expect头。
        

8. From 
    
        用来转发一个电子邮件地址：
```
From: qiang.yang@oracle.com
```
        现在很少有WEB服务器支持该HEAD。


9. Host

        用来提供多寻址方式
```
Host: www.google.com：80 
```

        拥有一个IP地址对应有多个主机名服务器，允许源服务器或网关去区分有内在歧义的URLS。
        
        端口使用冒号分隔，默认端口80可以省略。

10. If-Match/ If-None-Match
        
        发送一个实体与服务器当前实体比较
```
If-Match: "xyzzy"
```
        
        设置条件请求。如果一个客户端已经从一个资源获得一个或多个实体（entity），那么它可以通过在If-Match头域里包含相应的实体标签（entity tag）来验证实体是否就是服务器当前实体。与响应的Etag有关。
        
![image.png](attachment:image.png)
        
        A客户端先发送IF-match，服务器匹配后修改实体资源，B客户端发If-match就无法匹配，导致412响应


11. If-Modified-Since /If-Unmodified-Since 
    
        指定最后修改的时间
```
 If-Modified-Since: Fri, 12 May 2013 18:53:33 GMT
```

        由客户端往服务器发送的头，可以看到，再次请求本地存在的 cache 页面时，客户端会通过 If-Modified-Since 头将先前服务器端发过来的 Last-Modified 最后修改时间戳发送回去，这是为了让服务器端进行验证，通过这个时间戳判断客户端的页面是否是最新的，如果不是最新的，则返回新的内容，如果是最新的，则 返回 304 告诉客户端其本地 cache 的页面是最新的，于是客户端就可以直接从本地加载页面了，这样在网络上传输的数据就会大大减少，同时也减轻了服务器的负担。


12. If-Range
    
        条件请求部分数据重传，条件是实体匹配或者时间匹配。
```
If-Range: "df6b0-b4a-3be1b5e1" 
If-Range: Tue, 21 May 2002 12:34:56 GMT 
```

        IF-Range头部需配合Range，如果没有Range参数，则If-Range会被视为无效。
        如果If-Range匹配上，那么客户端已经存在的部分是有效的，服务器将返回缺失部分，也就是Range里指定的，然后返回206（Partial content)，否则证明客户端的部分已无效（可能已经更改），那么服务器将整个实体内容全部返回给客户端，同时返回200OK


13. Range ：
    
        用来指定部分数据请求
```
Range: bytes 0-499, 1000-1499，1500-
```
        其中bytes表示单位，目前只能是bytes。
        其他例子说明：假设请求10000个字节数据。
            -- 第一个500字节: bytes=0-499
            -- 第二个500字节: bytes=500-999
            -- 最后500字节: bytes=-500 或 bytes=9500-
            -- 仅仅第一个和最后一个字节: bytes=0-0,-1
        

14. Max-Forwards ：
        
        为TRACE和OPTIONS提供一种机制去限制转发请求的代理或网关的数量。
        用来解决代理服务器阻止返回的响应问题。

```
Max-Forwards: 0
```

15. Referer :
        
        告诉服务器我是从哪个页面链接过来的，服务器籍此可以获得一些信息用于处理。
        
        指定请求URI来源的资源URI允许服务器为了个人兴趣，记录日志，优化缓存等来产生回退链接列表。它照样允许服务器为维护而跟踪过时或写错的链接。

```
Referer: http://www.w3.org/hypertext/DataSources/Overview.html
```

16. TE：
        
        使用语法与Accept-Encoding与Content-Encoding一样，但该HEADER用于传输的编码指定。


17. User-Agent：
        
        用来指定用户的代理请求工具。服务器可以根据这个特性来提供更适合客户的响应。

```
User-Agent: Mozilla/5.0 (X11; U; Linux i686; zh-CN; rv:1.9.2.13)
```

### HTTP请求与响应都使用的头说明

1. Connection：
    
        用于服务器对客户端连接的管理
        Connect常用的值
            |-    Keep-Alive：保持连接。
            |-    Close：在传输完成后关闭连接。
            |-    Upgrade：用于代理服务器更新响应。

```
Connection: Keep-Alive 
Connection: Close 
```

2. Keep-Alive：
        
        这个HEAD可能今后不被推荐使用。用于说明保持连接的时间，单位是秒数。
        这个HEAD的值没有明确定义，有的服务器用来表示TCP连接打开的最大数量。
        
```
Keep-Alive：300
```

3. Cache-Control

        用来管理服务器的缓冲，包含代理服务器。

```
Cache-Control: max-age=600, no-cache="Set-Cookie"
```

        其中包含的设置项有：
                |-    no-cache：不是用来禁止缓冲，而是用来重新校验缓冲的回送给客户的数据。如果no-cache缓存控制指令没有指定一个field-name，那么一个缓存不能在没有通过源服务器对它进行成功重验证的情况下，利用此响应去满足后续的请求。这允许源服务器去防止响应被缓存保存，即使此缓存已被设置可以返回陈旧响应给客户端。
                |-    no-store：no-store缓存控制指令的目的在于防止不经意地释放或保留敏感信息
                |-    max-age：值为秒数，表示请求时间长度不超过max-age的缓存。
                |-    max-stale=600 ：指定缓存的过期时间。
                |-    min-fresh=600：表示请求时间长度超过min-fresh的缓存。
                |-    no-transform：告知服务器不要修改响应的缓存数据。
                |-    only-if-cached：告知服务器如果缓存存在，则直接使用缓存。
                |-    cache-extension：缓存扩展。代理服务器不支持会直接丢弃该HEAD。


4. Date

        指定消息产生的时间。
        注意：时间格式必须按照Tue, 21 May 2002 12:34:56 GMT 指定。

```
Date: Tue, 21 May 2002 12:34:56 GMT 
```

5. Pragma
    
        在HTTP/1.0用来控制缓冲，在HTTP1.1中使用Cache-Control。

```
Pragma: no-cache 
```

6. Trailer 

        用来确定在消息正文后，添加HEAD的值。

```
Trailer: Date 
```
        
        产生的效果如下，必须与Transfer-Encoding：chunked使用。

```
    HTTP/1.1 200 OK 
    Content-Type: text/html 
    Transfer-Encoding: chunked 
    Trailer: Date 

    7f 
    <html> 

    </html> 
    0 
    Date: Tue, 21 May 2002 12:34:56 GMT 
```


7. Transfer-Encoding：

        Transfer-Encoding: chunked 表示输出的内容长度不能确定，普通的静态页面、图片之类的基本上都用不到这个。但动态页面就有可能会用到。
        
        使用这个HEAD表示数据的开始行不是数据，而是表示数据开始，数据结束使用行内容为0的单独行。

```
Transfer-Encoding: chunked
```


8. Upgrade：

        用来告知服务器与客户端协议或者协议版本的变化。响应会发送101 Switching Protocols 响应状态。

```
Upgrade: HTTP/2.0, HTTPS/1.3, IRC/6.9, RTA/x11, websocket
```

9. Via：

        被代理服务器使用，用来标识自己的信息，与User-Agent一样。

```
Via: 1.0 fred, 1.1 example.com (Apache/1.1)
```

10. Warning 

        实体可能会发生的问题的通用警告

```
Warning: 199 Miscellaneous warning
```

### HTTP非标准请求头

1. X-Requested-With 
        
        标识Ajax请求，大部分js框架发送请求时都会设置它为XMLHttpRequest

```
X-Requested-With: XMLHttpRequest
```

2. DNT 
        
        请求web应用禁用用户追踪

```
DNT: 1 (Do Not Track Enabled)
DNT: 0 (Do Not Track Disabled)
```

3. X-Forwarded-For
    
        一个事实标准，用来标识客户端通过HTTP代理或者负载均衡器连接的web服务器的原始IP地址

```
X-Forwarded-For: client1, proxy1, proxy2
X-Forwarded-For: 129.78.138.66, 129.78.64.103
```

4. X-Forwarded-Host
        
        一个事实标准，用来标识客户端在HTTP请求头中请求的原始host,因为主机名或者反向代理的端口可能与处理请求的原始服务器不同

```
X-Forwarded-Host: en.wikipedia.org:8080
X-Forwarded-Host: en.wikipedia.org
```

5. X-Forwarded-Proto 
        
        一个事实标准，用来标识HTTP原始协议，因为反向代理或者负载均衡器和web服务器可能使用http,但是请求到反向代理使用的是https

```
X-Forwarded-Proto: https
```

6. Front-End-Https
            
        微软应用程序和负载均衡器使用的非标准header字段 Front-End-Https: on

7. X-Http-Method-Override 
        
        请求web应用时，使用header字段中给定的方法（通常是put或者delete）覆盖请求中指定的方法（通常是post）,如果用户代理或者防火墙不支持直接使用put或者delete方法发送请求时，可以使用这个字段

```
X-HTTP-Method-Override: DELETE
```

8. X-ATT-DeviceId

        允许更简单的解析用户代理在AT&T设备上的MakeModel/Firmware

```
X-Att-Deviceid: GT-P7320/P7320XXLPG
```

9. X-Wap-Profile 
        
        设置描述当前连接设备的详细信息的xml文件在网络中的位置

```
x-wap-profile: http://wap.samsungmobile.com/uaprof/SGH-I777.xml
```

10. Proxy-Connection 
        
        早起HTTP版本中的一个误称，现在使用标准的connection字段

```
Proxy-Connection: keep-alive
```

11.X-UIDH 
        
        服务端深度包检测插入的一个唯一ID标识Verizon Wireless的客户

```
X-UIDH: ...
```

12.  X-Csrf-Token,X-CSRFToken,X-XSRF-TOKEN 
        
        防止跨站请求伪造
        
```
X-Csrf-Token: i8XNjC4b8KVok4uw5RftR38Wgp2BFwql
```

13. X-Request-ID,X-Correlation-ID 
        
        标识客户端和服务端的HTTP请求

```
X-Request-ID: f058ebd6-02f7-4d3f-942e-904344e8cde5
```


### HTTP通用响应头说明

1. Accept-Ranges

        说明服务器是否支持指定范围的数据重发或者发送。
        
        HEAD的值说明：
                
                |-  bytes表示支持
                |-  none表示不支持。


```
Accept-Ranges: bytes 
Accept-Ranges: none 
```


2. Age

        说明用户请求资源的存在年龄。
        值的单位为秒，使用4字节整数表示，注意不要溢出。

```
Age：2500
```

3. Authentication-Info

        包含用户的授权信息

```
HTTP/1.1 200 OK 
Authentication-Info: qop="auth-int", rspauth="5913ebca817739aebd2655bcfb952d52", 
                     cnonce="f5e2d7c0b6a7f2e3d2c4b5a4f7e4d8c8b7a", nc="00000001" 
```


4. Content-Disposition：

        Content-disposition 是 MIME 协议的扩展，MIME 协议指示 MIME 用户代理如何显示附加的文件。Content-disposition其实可以控制用户请求所得的内容存为一个文件的时候提供一个默认的文件名，文件直接在浏览器上显示或者在访问时弹出文件下载对话框。
        可以解决如下问题：
                |-  希望某类或者某已知MIME 类型的文件（比如：*.gif;*.txt;*.htm）能够在访问时弹出“文件下载”对话框。
                |-  希望客户端下载时以指定文件名显示。
                |-  希望某文件直接在浏览器上显示而不是弹出文件下载对话框。

```
Content-Disposition: attachment; filename="example.pdf" 
```


5. Etag
        
        提供一个值唯一指定请求资源的版本(分块发送的资源边界标识)
        客户一般用来重发给服务器，用来请求对缓存数据的状态管理。

```
ETag: "1cdb-4efedbb8"
```

6. Location：

        告知浏览器重新请求的位置。
        用于为了完成请求或识别一个新资源，使接收者能重定向于Location指明的URI而不是请求URI。
        其中必须使用绝对位置。

```
Location: http://httphandbook.org/
```

7. Proxy-Authenticate/WWW-Authenticate
        
        要求客户提供授权信息
                |-  Basic是加密算法
                |-  Realm指定提示域信息。


```
WWW-Authenticate: Basic realm="testrealm@keakon.cn"
```

8. Refresh
        
        告知浏览器刷新的参数
        
        等价于
                <meta http-equiv="refresh" content="3; url=http://httphandbook.org/">


```
Refresh: 3; url=http://httphandbook.org/ 
```

7. Retry-After

        指定重试时间间隔或者时间

```
Retry-After: Tue, 21 May 2002 12:34:56 GMT 
Retry-After: 600 
```

8. Server

        指定服务器相关信息

```
Server: Apache
```

9. Set-Cookie

        用来指示客户端浏览器存储数据到cookie。
                Cookie格式说明：
                fname=chris			：存储文件名
                domain=httphandbook.org	：存储的域
                path=/			：存储路径
                expires=Tue, 21 May 2002 12:34:56 GMT：失效时间
                Secure			：表明使用安全连接发送，比如SSL。


```
Set-Cookie: fname=chris; domain=.httphandbook.org; path=/; expires=Tue, 21 May 2002 12:34:56 GMT; secure 
```

10. Vary：
            
         vary的意义在于告诉代理服务器缓存，如何判断请求是否一样，vary中的组合就是服务器判断的依据，
        比如Vary中有User-Agent，那么即使相同的请求，如果用户使用IE打开了一个页面，再用Firefox打开这个页面的时候，CDN/代理会认为是不同的页面，如果Vary中没有User-Agent，那么CDN/代理会认为是相同的页面，直接给用户返回缓存的页面，而不会再去web服务器请求相应的页面。
        
```
Vary: Accept-Language, User-Agent 
```


### HTTP用于响应体的头说明

1. Allow：

        对请求而言，是告诉服务器只能使用指定的方法请求。
        对响应而言，是告诉浏览器，服务只能支持的方法。

```
Allow: GET, HEAD, POST
```

2. Content-Encoding

        指定实体内容的压缩编码格式：
        一般编码格式是：
              |-  gzip
              |-  compress
              |-  deflate

```
Content-Encoding：gzip,deflate,compress
```
        

3. Content-Language
        
        实体内容支持的语言。


4. Content-Length
        
        实体内容的长度


5. Content-Location

        指定资源的位置

6. Content-MD5
        
        指定实体内容的MD5信息

```
Content-MD5: ZTFmZDA5MDYyYTMzZGQzMDMxMmIxMjc4YThhNTMyM2I= 
```

7. Content-Range
        
        服务器用来返回请求资源的一部分。

```
Content-Range: 600-900/1234 
```
        
        说明返回总的1234字节的600-900字节。


8. Content-Type

        指定内容实体的文件格式/子格式。

```
Content-Type: text/html 
```


9. Expires

    指定内容实体过期的时间

```
Expires: Tue, 21 May 2002 12:34:56 GMT
```

10. Last-Modified
        
        资源最后修改的时间，往往用来计算资源的Age。

```
Last-Modified: Tue, 21 May 2002 12:34:56 GMT 
```

### HTTP非标准响应头

1. X-XSS-Protection 

        过滤跨站脚本

```
X-XSS-Protection: 1; mode=block
```
    
2. Content-Security-Policy, X-Content-Security-Policy,X-WebKit-CSP 

        定义内容安全策略
```
X-WebKit-CSP: default-src 'self'
```

3. X-Content-Type-Options 
        
        唯一的取值是"",阻止IE在响应中嗅探定义的内容格式以外的其他MIME格式

```
X-Content-Type-Options: nosniff
```

4. X-Powered-By 
        
        指定支持web应用的技术
```
X-Powered-By: PHP/5.4.0
```

5. X-UA-Compatible 
        
        推荐首选的渲染引擎来展示内容，通常向后兼容，也用于激活IE中内嵌chrome框架插件
                <meta http-equiv="X-UA-Compatible" content="chrome=1" />

```
X-UA-Compatible: IE=EmulateIE7
X-UA-Compatible: IE=edge
X-UA-Compatible: Chrome=1
```

6. X-Content-Duration 
        
        提供音视频的持续时间，单位是秒，只有Gecko内核浏览器支持

```
X-Content-Duration: 42.666
```

7. Upgrade-Insecure-Requests 
        
        标识服务器是否可以处理HTTPS协议

```
Upgrade-Insecure-Requests: 1
```

8. X-Request-ID,X-Correlation-ID 
        
        标识一个客户端和服务端的请求

```
X-Request-ID: f058ebd6-02f7-4d3f-942e-904344e8cde5
```

### 响应头的使用例子：


#### 要求浏览器使用basic登录的例子

        这里使用响应头，发送一个用户需要登录的协议沟通：

````
                "HTTP/1.1 401 Unauthorized\r\n"
                "WWW-Authenticate: Basic realm=\"Louis Young Examples for Response!\"\r\n"
                "Connection: Keep-Alive\r\n"
                "Keep-Alive: 115\r\n"
                "\r\n\r\n");
````


代码略

#### 获取浏览器的发送的cookie

代码略

#### 获取服务器发送的set-cookie

代码略

## HTTP Cookie与Session

### Cookie的格式

    注意： 在HTTP协议中，一般Cookie支持大小最多4K所以使用Cookie处理数据存在局限性。
              一般Cookie采用明文信息，所以极度不安全。一般浏览器中可以设置是否存储Cookie。

#### 几个浏览器发送的cookie例子

        有的站点在访问时，浏览器不会发起cookie。
        

1.  自己写的程序抓取到的cookie

```
Cookie: _xsrf=2|f877d065|146c6a9838e67ba203776913fae34f45|1547796259
```

2. 使用浏览器向百度翻译请求时发送的cookie
```
Cookie: Hm_lpvt_64ecd82404c51e03dc91cb9e8c025574=1547803048; Hm_lvt_64ecd82404c51e03dc91cb9e8c025574=1547545982,1547720682,1547775577,1547803048; from_lang_often=%5B%7B%22value%22%3A%22fra%22%2C%22text%22%3A%22%u6CD5%u8BED%22%7D%2C%7B%22value%22%3A%22zh%22%2C%22text%22%3A%22%u4E2D%u6587%22%7D%2C%7B%22value%22%3A%22en%22%2C%22text%22%3A%22%u82F1%u8BED%22%7D%5D; to_lang_often=%5B%7B%22value%22%3A%22en%22%2C%22text%22%3A%22%u82F1%u8BED%22%7D%2C%7B%22value%22%3A%22zh%22%2C%22text%22%3A%22%u4E2D%u6587%22%7D%5D; FANYI_WORD_SWITCH=1; HISTORY_SWITCH=1; REALTIME_TRANS_SWITCH=1; SOUND_PREFER_SWITCH=1; SOUND_SPD_SWITCH=1; locale=zh; BDORZ=B490B5EBF6F3CD402E515D22BCDA1598; H_PS_PSSID=1430_21119_28329_28132_26350_28267_27245_22158; PSINO=1; delPer=0; pgv_pvi=5448934400; pgv_si=s1851237376; BDUSS=hsVWV6czh0a1hOQ3BaYkhTM0FrOXhNYnBCUWFsMlY0clhlYkNvTkRKdENDUGxiQUFBQUFBJCQAAAAAAAAAAAEAAAAFyMhmAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEJ70VtCe9FbY0; BIDUPSID=C53590ACE23DAC88DBE0C3D65AEBAA30; PSTM=1539535646; BAIDUID=DB00283B42FBC875B67496A00F47ABAB:FG=1
```

使用浏览器解析出来是一个表格：

cookie名称|Cookie值
-|-
BAIDUID|DB00283B42FBC875B67496A00F47ABAB:FG=1
BDORZ|B490B5EBF6F3CD402E515D22BCDA1598
BDUSS|hsVWV6czh0a1hOQ3BaYkhTM0FrOXhNYnBCUWFsMlY0clhlYkNvTkRKdENDUGxiQUFBQUFBJCQAAAAAAAAAAAEAAAAFyMhmAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEJ70VtCe9FbY0
BIDUPSID|C53590ACE23DAC88DBE0C3D65AEBAA30
delPer|0
FANYI_WORD_SWITCH|1
from_lang_often|%5B%7B%22value%22%3A%22fra%22%2C%22text%22%3A%22%u6CD5%u8BED%22%7D%2C%7B%22value%22%3A%22zh%22%2C%22text%22%3A%22%u4E2D%u6587%22%7D%2C%7B%22value%22%3A%22en%22%2C%22text%22%3A%22%u82F1%u8BED%22%7D%5D
H_PS_PSSID|1430_21119_28329_28132_26350_28267_27245_22158
HISTORY_SWITCH|1
Hm_lpvt_64ecd82404c51e03dc91cb9e8c025574|1547972748
Hm_lvt_64ecd82404c51e03dc91cb9e8c025574|1547545982,1547720682,1547775577,1547803048
locale|zh
pgv_pvi|5448934400
pgv_si|s1851237376
PSINO|1
PSTM|1539535646
REALTIME_TRANS_SWITCH|1
SOUND_PREFER_SWITCH|1
SOUND_SPD_SWITCH|1
to_lang_often|%5B%7B%22value%22%3A%22en%22%2C%22text%22%3A%22%u82F1%u8BED%22%7D%2C%7B%22value%22%3A%22zh%22%2C%22text%22%3A%22%u4E2D%u6587%22%7D%5D


3. 抓取到百度首页响应的Cookie如下：

```
HTTP/1.1 200 OK
Content-Type: text/html;charset=utf-8
Set-Cookie: BD_HOME=1; path=/
Set-Cookie: BDSVRTM=321; path=/
Set-Cookie: H_PS_PSSID=1430_21119_28206_28132_26350_28267_27245_22158; path=/; domain=.baidu.com
Content-Encoding: gzip
Expires: Sun, 20 Jan 2019 08:36:16 GMT
Transfer-Encoding: Identity
Cache-Control: private
Date: Sun, 20 Jan 2019 08:36:16 GMT
Connection: Keep-Alive
Server: BWS/1.1
Bdqid: 0x8878399100134524
Bdpagetype: 2
Strict-Transport-Security: max-age=172800
X-Ua-Compatible: IE=Edge,chrome=1

```

其中Cookie是：

```
Set-Cookie: BD_HOME=1; path=/
Set-Cookie: BDSVRTM=321; path=/
Set-Cookie: H_PS_PSSID=1430_21119_28206_28132_26350_28267_27245_22158; path=/; domain=.baidu.com

```

#### Cookie的格式

    Cookie就是使用Key:Value格式构成的值对。
    
    其中的Key有通用约定用途的Key，也可以用户自己定义的Key，因为Cookie既用于浏览器与Web服务器之间数据约定，也用于用户的数据约定。
    
    Cookie约定的Key有：
    Set-Cookie: <name>=<value>[; <name>=<value>]...
                    [; expires=<date>][; domain=<domain_name>]
                    [; path=<some_path>][; secure][; httponly]
    
     下面是百度的Cookie的例子：

Set-Cookie: BAIDUID=801BAD1D5CB256E7448139623D0AE089:FG=1; expires=Thu, 31-Dec-37 23:55:55 GMT; max-age=2147483647; path=/; domain=.baidu.com
Set-Cookie: BIDUPSID=801BAD1D5CB256E7448139623D0AE089; expires=Thu, 31-Dec-37 23:55:55 GMT; max-age=2147483647; path=/; domain=.baidu.com
Set-Cookie: PSTM=1547976171; expires=Thu, 31-Dec-37 23:55:55 GMT; max-age=2147483647; path=/; domain=.baidu.com
Set-Cookie: BD_LAST_QID=15551781544627683897; path=/; Max-Age=1

1. name=value

        指定cookie的名称和值，名称大小写不敏感，值必须经过URL编码。

2. domain=<domain_name> 

        域，表示当前cookie所属于哪个域或子域下面。
        
        对于服务器返回的Set-Cookie中，如果没有指定Domain的值，那么其Domain的值是默认为当前所提交的http的请求所对应的主域名的。
        
        比如访问 http://www.baidu.com，返回一个cookie，没有指名domain值，那么其为值为默认的www.baidu.com。
        
        注：
                |- 临时cookie(没有expires参数的cookie)不能带有domain选项。
                
                |- 当客户端发送一个http请求时，会将有效的cookie一起发送给服务器。
                
                |- 如果一个cookie的domain和path参数和URL匹配，那么这个cookie就是有效的。一个URL中包含有domain和path

3. path=<some_path>
        
        表示cookie的存储的路径。

4. secure 
        
        表示该cookie只能用https传输。一般用于包含认证信息的cookie，要求传输此cookie的时候，必须用https传输。

5. httponly :
        
        表示cookie不能被客户端脚本获取到。
        表示此cookie必须用于http或https传输。这意味着，浏览器脚本，比如javascript中，是不允许访问操作此cookie的。

6.expires=<date>: 
        
        如果cookie超过date所表示的日期时，cookie将失效。
        如果没有设置这个选项，那么cookie将在浏览器关闭时失效。
        
        注意：date是格林威治时间(GMT)，使用如下格式表示：
                 
                 DAY, DD MMM YYYY HH:MM:SS GMT

                        |- DAY：星期 (Sun, Mon, Tue, Wed, Thu, Fri, Sat)
                        |- DD：每个月的天数（从 01 到每个月最大天数)
                        |- MMM：月份（Jan, Feb, Mar, Apr, May, Jun, Jul, Aug, Sep, Oct, Nov, Dec)
                        |- YYYY：年（2019）
                        |- HH：小时（24小时制：22 表示 10:00 P.M.)
                        |- MM：分钟（00-59）
                        |- SS：秒：（00-59）

7. max-age=<seconds>
        
        用max-age指定当前cookie是在多长时间之后而失效（单位是秒数，从请求开始计时）

### 发送Cookie

### 获取Cookie

### 浏览器中Cookie的存放

1. Chrome的存放位置

        Mac OS X: ~/Library/Application Support/Google/Chrome/Default 
        Windows XP: Documents and SettingsusernameLocal SettingsApplication DataGoogleChromeUser DataDefault 
        Windows 7: C:\Users\XXXX\AppData\Local\Google\Chrome\User Data\Default\ 
        Linux: ~/.config/google-chrome/Default 

在Mac下的截图：
>![Chrome在Mac存放位置](attachment:image.png)

2. Safari的存放位置
        
        Mac : /Users/yangqiang/Library/Safari/Databases
        
        注意：Safari的Cookie保存采用的是Sqlite数据保存。

在Mac下截图
>![Safari在Mac存放位置](attachment:image.png)
    

3. Firefox的存放位置
        
        /Users/yangqiang/Library/Application Support/Firefox/Profiles/bqyl1a0p.default

在Mac下截图
>![Fixfox的在Mac存放位置](attachment:image.png)

### Session机制

        HTTP协议本身是无状态的，客户端的每一次请求之间都是独立的，因为无论是客户端还是服务器都没有必要纪录彼此过去的行为。
 
        然而随着互联网技术的发展，很快这种无状态协议满足不了应用需求：
            |- DHTML技术开始出现（Javascript + DOM ）
            |- 服务器端则出现了CGI规范以响应客户端的动态请求
            |- cookie的出现解决HTTP协议无状态的缺陷。
            |- session出现提供客户端与服务器之间保持状态的最终解决方案。

#### Session的作用


        Session是用来识别用户状态的一种机制或者解决方案。
        
        Session包含两个部分：
                |- 状态存储
                |- 状态数据


#### Sesson状态存储
        
        Session机制是一种服务器端的机制，在服务器就是一个类似Hash的结构，这种类似散列表的结构来保存用户ID信息。



#### Session状态数据

        |
        |-  当客户端第一次请求的时候，服务器没有该客户状态，则为此客户端生成一个Session ID（该ID与客户端唯一绑定），并且创建一条存储纪录；
        |
        |-  当客户端再次访问，服务器首先检查这个客户端的请求里是否已包含了一个Session ID，从而识别用户状态（比如用户是否登录等），用户状态就是绑定在ID上的数据（这种数据通常使用Key-Value的方式存放，就是Hash表结构）



#### Session的实现技术
        
        Session的实现使用的Cookie。
            |
            |- 当第一次访问，客户端没有Session，服务器自动生成一个Session ID，并在在响应Cookie中返回给浏览器，浏览器一般会保存到本地Cookie数据库。下载请求会自动把本地Cookie打包到请求协议中。
            
            |- 但是Cookie因为自身的不安全性，一般浏览器会提供Cookie存储选项：是否存储Cookie到本地。如果浏览器不保存Cookie，就无法实现浏览器发送Cookie到服务器验证Session ID。所以为了解决Cookie局限带来的问题，一般会采用URL重写的方式来实现Session ID传递。重写技术就是创建一个QueryString或者直接在URL后添加Session ID（用来区分QueryString）。
                    |- http://...../xxx;jsessionid=xxx
                    |- http://...../xxx?jsessionid=xxx
                    
                    注意：上面其中;?就是QueryString格式规范。
                    解决Cookie禁用的问题，还有其他技术：比如隐藏表单等（该技术因为要创建HTML隐藏表单类型，所以一般不再使用）
            
                    同时其中的Session ID在不同的服务器中由不同的命名方式。

#### Session的失效问题
    
        是不是服务器保存了Session ID信息，这样用户状态就一直存在呢？这样服务器的负载就太大了，这种机制明显不行的。一般服务器会对Session ID对应的活跃度进行检测，一定时间后，服务器会删除客户Session ID对应的数据。
        这样当用户一段时间不访问Web服务器，Session就会失效，需要重新建立Session，比如用户登录就需要重新登录。
        
        一般Session ID设置的Cookie周期都是临时，当浏览器关闭后，Cookie都会删除，从而需要重新建立Session ID，如果我们自己写程序保留Cookie，那就另当别论（可以保存Session ID的）。

## HTTP请求方法

### GET请求方法

浏览器默认的请求方法都是GET方法。为了传递数据，提出了QueryString的规范。下面使用例子说明GET方法的使用：

#### GET方法获取页面数据

In [None]:
#

#### 在GET方法中使用QueryString传递数据

In [None]:
#

#### 使用GET获取百度翻译的Cookie与Session状态

In [None]:
#

### POST请求方法

#### 使用POST提交表单

In [None]:
# 

#### 使用POST上传文件

In [7]:
# 

#### 使用POST实现自动登录

### PUT请求方法

        
        这里提出PUT方法，是因为知乎的登录验证码使用了PUT请求方法。

#### 知乎验证码破解实现例子