彻底搞懂HTTP

HTTP发展史

HTTP（Hypertext Transfer Protocol，超文本传输协议）是用于在互联网上传输超文本（如网页）的应用层协议。

最早版本0.9

仅用于简单的文档浏览，功能极其有限。

正式版本1.0

• 引入了请求头（Request Headers）和响应头（Response Headers），支持更多元的数据类型（如图片、CSS等）。
• 支持不同的 HTTP 方法：GET、POST、HEAD。
• 响应中包含状态码（如 200、404 等）。
• 每个请求/响应后都会关闭 TCP 连接，效率较低，每次请求都要重新建立 TCP 连接，存在较大的连接开销（延迟高）。

HTTP/1.1

• 持久连接（Persistent Connection）： 默认情况下，TCP 连接在多个请求之间保持打开，减少了连接建立的开销。 Connection: keep-alive | close
• 管道化（Pipelining，实际很少使用）： 允许客户端在未收到前一个响应时发送多个请求，但服务器仍需按顺序响应，实际效果有限且存在队头阻塞问题。 队头阻塞（Head-of-Line Blocking）： 在同一个 TCP 连接中，请求必须按顺序处理，前一个请求未完成会阻塞后续请求。 —— 第一个请求（队头）如果卡住了，后面的请求即使已经处理完毕，也得等着。
• 支持更多的请求方法（如 PUT、DELETE 等）。
• 引入了Host 头，使得在一台服务器上可以托管多个网站（虚拟主机支持）。
• 支持分块传输编码（Chunked Transfer Encoding）

由于管道化存在严重的队头阻塞，而且实现复杂、兼容性差， 实际上大多数 HTTP/1.1 的实现并没有启用管道化，而是采用了 “多个 TCP 连接” 的方式来模拟并发：

• 比如一个网页打开时会建立 多个 TCP 连接（通常是 6~8 个） ，每个连接上按顺序发送请求。

HTTP/2

• 二进制协议： 不再是文本格式，而是二进制格式，更高效、更紧凑，解析更快。
• 多路复用（Multiplexing）： 允许多个请求和响应在同一个 TCP 连接上并发进行，彻底解决了 HTTP/1.1 的队头阻塞问题。
• 头部压缩（HPACK）： 对 HTTP 头部进行压缩，减少冗余数据传输。
• 服务器推送（Server Push）： 服务器可以主动向客户端推送资源，而无需客户端显式请求。
• 流优先级： 可以为不同请求设置优先级，优化资源加载顺序。

除了服务器推送，其他都默认开启。nginx下开启Server Push方法：

location = /index.html {http2_push /style.css;http2_push /script.js;}

但实际使用中，由于浏览器智能预加载已经很高效， Server Push 的实际收益有限，需谨慎使用。

HTTP/3

HTTP/2 仍然运行在 TCP 协议之上，而 TCP 是一个面向字节流、强调可靠性和顺序性的协议。应用层解决了队头阻塞问题，传输层却没解决。 为了解决 HTTP/2 中 TCP 层的队头阻塞问题，HTTP/3 转而基于 QUIC 协议，而 QUIC 基于 UDP 而非 TCP。

• 基于 QUIC（Quick UDP Internet Connections）： QUIC 是由 Google 提出并标准化（IETF），运行在 UDP 上，集成了 TLS 加密、多路复用、快速连接建立等特性。
• 彻底解决队头阻塞： 每个流（stream）独立传输，即使某个流丢包，也不会影响其他流。
• 更快的连接建立： 由于 QUIC 内置了 TLS，握手过程更快（通常 1-RTT 或 0-RTT）。
• 内置加密： HTTP/3 通常总是加密的，安全性更高。* 改进移动网络性能： 更适应高丢包、高延迟的网络环境（如移动网络、Wi-Fi 切换等）。

HTTPS

HTTPS = HTTP + TLS/SSL（Transport Layer Security / Secure Sockets Layer）（加密层）

工作原理简述

1. 客户端发起请求（Client Hello）
2. 服务器响应（Server Hello），并发送证书（包含公钥）
3. 客户端验证服务器证书，提取公钥
4. 客户端生成一个随机的对称密钥（称为“会话密钥”或“预主密钥”），用服务器的公钥加密后传给服务器
5. 服务器用自己的私钥解密得到对称密钥
6. 双方后续通信都使用这个对称密钥加密

关于TCP的粘包

“粘包”（Sticky Packet） 并不是TCP协议本身的一个错误或问题，而是在使用TCP进行数据通信时，由于TCP是面向字节流的协议，开发者在使用过程中可能遇到的一种现象。

• 发送方依次发送：

  • 包1：“Hello”
  • 包2：“World”

• 接收方可能收到：

  TCP 是面向字节流（Byte Stream）的协议，它本身不保留应用层消息的边界。TCP 只保证数据可靠传输，按顺序到达，但不关心你应用层每次发送的数据是“一条消息”还是“多条消息”。 既然 TCP 不帮我们区分消息边界，那我们就需要在应用层协议上自己定义好消息的格式与边界

  • 情况1：一次收到 “HelloWorld”（两个包粘在一起了）
  • 情况2：正常分别收到 “Hello” 和 “World”（没粘包）

• 请求行 + Headers + 空行（\r\n\r\n） ：标识 HTTP 头部结束。

• Content-Length 或 Transfer-Encoding：标识消息体的长度或者传输方式，从而让接收方能准确知道消息体在哪里结束。

文章来自网上，侵权请联系博主

互动话题：如果你想学习更多网安方面的知识和工具，可以看看以下题外话！

学习资源

如果你是也准备转行学习网络安全（黑客）或者正在学习，这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你

知识库由360智榜样学习中心独家打造出品，旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力，熟练掌握基础攻防到深度对抗。

1、知识库价值

深度： 本知识库超越常规工具手册，深入剖析攻击技术的底层原理与高级防御策略，并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等，提供了独到的技术视角和实战验证过的对抗方案。

广度： 面向企业安全建设的核心场景（渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营），本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点，是应对复杂攻防挑战的实用指南。

实战性： 知识库内容源于真实攻防对抗和大型演练实践，通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。

2、 部分核心内容展示

360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式，既夯实基础技能，更深入高阶对抗技术。

360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式，既夯实基础技能，更深入高阶对抗技术。

内容组织紧密结合攻防场景，辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合，是你学习过程中好帮手。

1、网络安全意识

2、Linux操作系统

3、WEB架构基础与HTTP协议

4、Web渗透测试

5、渗透测试案例分享

6、渗透测试实战技巧

7、攻防对战实战

8、CTF之MISC实战讲解

3、适合学习的人群

‌一、基础适配人群‌

1. ‌零基础转型者‌：适合计算机零基础但愿意系统学习的人群，资料覆盖从网络协议、操作系统到渗透测试的完整知识链‌；
2. ‌开发/运维人员‌：具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能，实现职业方向拓展‌或者转行就业；
3. ‌应届毕业生‌：计算机相关专业学生可通过资料构建完整的网络安全知识体系，缩短企业用人适应期‌；

‌二、能力提升适配‌

1、‌技术爱好者‌：适合对攻防技术有强烈兴趣，希望掌握漏洞挖掘、渗透测试等实战技能的学习者‌；

2、安全从业者‌：帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力‌；

3、‌合规需求者‌：包含等保规范、安全策略制定等内容，适合需要应对合规审计的企业人员‌；

因篇幅有限，仅展示部分资料，完整版的网络安全学习资料已经上传CSDN，朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源