HTTP协议详解以及POST与GET的区别

1.分析

　　一般在浏览器中输入网址访问资源都是通过GET方式；在FORM提交中，可以通过Method指定提交方式为GET或者POST，默认为GET提交。Http定义了与服务器交互的不同方法，最基本的方法有4种，分别是GET，POST，PUT，DELETE。

　　URL全称是资源描述符，我们可以这样认 为：一个URL地址，它用于描述一个网络上的资源，而HTTP中的GET，POST，PUT，DELETE就对应着对这个资源的查 、改 、增 、删 4个操作。

　　根据HTTP规范，GET用于信息获取，而且应该是安全的和幂等的

1. 安全的是指没有明显的对用户有影响的副作用(包括修改该资源的状态)。HTTP方法里的GET和HEAD都是安全的。
2. 幂等的是指一个方法不论多少次操作，结果都是一样。PUT(把内容放到指定URL)，DELETE(删除某个URL代表的资源)，虽然都修改了资源内容，但多次操作，结果是相同的，因此和HEAD，GET一样都是幂等的。

　　所以根据HTTP协议，GET是安全的，也是幂等的，而POST既不是安全的，也不是幂等的。但在实际应用中，以上2条规定并没有这么严格。比如，新闻站点的头版不断更新。虽然第二次请求会返回不同的一批新闻，该操作仍然被认为是安全的和幂等的。因为它总是返回当前的新闻。从根本上说，如果目标是当用户打开一个链接时，他可以确信从自身的角度来看没有改变资源即可。

　　通常情况下我们都说POST的安全性要比GET的安全性高(注意：这里所说的安全性和上面GET提到的“安全”不是同个概念。上面“安全”的含义仅仅是不作数据修改，而这里安全的含义是真正的Security的含义)，比如：通过GET提交数据，用户名和密码将明文出现在URL上，比如有一个常见的url：login.action?name=hyddd&password=idontknow&verify=%E4%BD%A0 %E5%A5%BD，通过这个url我们就知道该用户的用户名是：hyddd，密码是idontknow。但是就因为这个原因说 POST 比 GET 安全是错的，因为POST和GET都是明文传输，用httpfox等插件，或者像WireShark 等类似工具就能观察到。

　　POST和GET的差别其实是很大的。语义上，GET是获取指定URL上的资源，是读操作，重要的一点是不论对某个资源GET多少次，它的状态是不会改变的，在这个意义上，我们说GET是安全的（不是被密码学或者数据保护意义上的安全）。因为GET是安全的，所以GET返回的内容可以被浏览器，Cache服务器缓存起来（其中还有很多细节，但不影响这里的讨论）。

　　而POST的语意是对指定资源“追加/添加”数据，所以是不安全的，每次提交的POST，参与的代码都会认为这个操作会修改操作对象资源的状态，于是，浏览器在你按下F5的时候会跳出确认框，缓存服务器不会缓存POST请求返回内容。

以上转载于：http://www.cnblogs.com/xwdreamer

区别

一、原理区别

一般我们在浏览器输入一个网址访问网站都是GET请求;再FORM表单中，可以通过设置Method指定提交方式为GET或者POST提交方式，默认为GET提交方式。

HTTP定义了与服务器交互的不同方法，其中最基本的四种：GET，POST，PUT，DELETE，HEAD，其中GET和HEAD被称为安全方法，因为使用GET和HEAD的HTTP请求不会产生什么动作。不会产生动作意味着GET和HEAD的HTTP请求不会在服务器上产生任何结果。但是安全方法并不是什么动作都不产生，这里的安全方法仅仅指不会修改信息。

根据HTTP规范，POST可能会修改服务器上的资源的请求。比如CSDN的博客，用户提交一篇文章或者一个读者提交评论是通过POST请求来实现的，因为再提交文章或者评论提交后资源（即某个页面）不同了，或者说资源被修改了，这些便是“不安全方法”。

 

 

二、表现形式区别

搞清楚了两者的原理区别后，我们来看一下在实际应用中的区别。

首先，我们先看一下HTTP请求的格式：

 

1. <method> <request-URL> <version>  
2. <headers>  
3.   
4. <entity-body>  

<method> <request-URL> <version><headers><entity-body>

 

 

 

在HTTP请求中，奇异行必须是一个请求行，包括请求方法，请求URL，报文所用HTTP版本信息。紧接着是一个herders小节，可以有零个或一个首部，用来说明服务器要使用的附加信息。在首部之后就是一个空行，最后就是报文实体的主体部分，包含一个由任意数据组成的数据块。但是并不是所有的报文都包含实体的主体部分。

GET请求实例：

 

1. GET http://weibo.com/signup/signup.php?inviteCode=2388493434  
2. Host: weibo.com  
3. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8  

GET http://weibo.com/signup/signup.php?inviteCode=2388493434Host: weibo.comAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

POST请求实例：

 

 

1. POST /inventory-check.cgi HTTP/1.1  
2. Host: www.joes-hardware.com  
3. Content-Type: text/plain  
4. Content-length: 18  
5.   
6. item=bandsaw 2647  

POST /inventory-check.cgi HTTP/1.1Host: www.joes-hardware.comContent-Type: text/plainContent-length: 18item=bandsaw 2647

 

接下来看看两种请求方式的区别：

1、GET请求，请求的数据会附加在URL之后，以?分割URL和传输数据，多个参数用&连接。URL的编码格式采用的是ASCII编码，而不是uniclde，即是说所有的非ASCII字符都要编码之后再传输。

POST请求：POST请求会把请求的数据放置在HTTP请求包的包体中。上面的item=bandsaw就是实际的传输数据。

因此，GET请求的数据会暴露在地址栏中，而POST请求则不会。

 

2、传输数据的大小

在HTTP规范中，没有对URL的长度和传输的数据大小进行限制。但是在实际开发过程中，对于GET，特定的浏览器和服务器对URL的长度有限制。因此，在使用GET请求时，传输数据会受到URL长度的限制。

对于POST，由于不是URL传值，理论上是不会受限制的，但是实际上各个服务器会规定对POST提交数据大小进行限制，Apache、IIS都有各自的配置。

 

3、安全性

POST的安全性比GET的高。这里的安全是指真正的安全，而不同于上面GET提到的安全方法中的安全，上面提到的安全仅仅是不修改服务器的数据。比如，在进行登录操作，通过GET请求，用户名和密码都会暴露再URL上，因为登录页面有可能被浏览器缓存以及其他人查看浏览器的历史记录的原因，此时的用户名和密码就很容易被他人拿到了。除此之外，GET请求提交的数据还可能会造成Cross-site request frogery攻击

 

4、HTTP中的GET，POST，SOAP协议都是在HTTP上运行的

 

三、HTTP响应

HTTP响应报文的格式

 

1. <version> <status> <reason-phrase>  
2. <headers>  
3.   
4. <entity-body>  

<version> <status> <reason-phrase><headers><entity-body>

 

 

status，状态码描述了请求过程中发生的情况

reson-phrase 是数字状态码的可读版本

常见的状态码以及含义如下：

200 OK 服务器成功处理请求

301/302 Moved Permanently（重定向）请求的URL已移走。响应报文中应该包含一个Location URL，说明资源现在所处的位置

304 Not Modified（未修改） 客户的缓存资源是最新的，要客户端使用缓存内容

404 Not Found 未找到资源

501 Internal Server Error 服务器遇到错误，使其无法对请求提供服务

HTTP响应示例

HTTP/1.1 200 OK

1. Content-type: text/plain  
2. Content-length: 12  
3.   
4. Hello World!  

Content-type: text/plainContent-length: 12Hello World!

 

 

1. <pre class="plain" name="code" snippet_file_name="blog_20140418_2_9713022" code_snippet_id="300067"><pre snippet_file_name="blog_20140418_2_9713022" code_snippet_id="300067"></pre>  
2. <pre></pre>  
3. <pre></pre>  
4. <pre></pre>  
5. <pre></pre>  
6. <pre></pre>  
7. <pre></pre>  
8. <pre></pre>  
9.      
10. </pre> 
    

HTTP包头解析

一、连接至Web服务器

一个客户端应用（如Web浏览器）打开到Web服务器的HTTP端口的一个套接字（缺省为80）。

例如：http://www.myweb.com:8080/index.html

在Java中，这将等同于代码：

[java] view plain copy

1. Soceet socket=new Socket("www.myweb.com",8080);  
2. InputStream in=socket.getInputStream();  
3. OutputStream out=socket.getOutputStream();  

二、发送HTTP请求

通过连接，客户端写一个ASCII文本请求行，后跟0或多个HTTP头标，一个空行和实现请求的任意数据。

一个请求由四个部分组成：请求行、请求头标、空行和请求数据

1.请求行：请求行由三个标记组成：请求方法、请求URI和HTTP版本，它们用空格分隔。

例如：GET /index.html HTTP/1.1

HTTP规范定义了8种可能的请求方法：

GET                  检索URI中标识资源的一个简单请求

HEAD               与GET方法相同，服务器只返回状态行和头标，并不返回请求文档

POST                服务器接受被写入客户端输出流中的数据的请求

PUT                   服务器保存请求数据作为指定URI新内容的请求

DELETE            服务器删除URI中命名的资源的请求

OPTIONS          关于服务器支持的请求方法信息的请求

TRACE              Web服务器反馈Http请求和其头标的请求

CONNECT        已文档化但当前未实现的一个方法，预留做隧道处理

2.请求头标：由关键字/值对组成，每行一对，关键字和值用冒号（:）分隔。

请求头标通知服务器有关于客户端的功能和标识，典型的请求头标有：

User-Agent        客户端厂家和版本

Accept            客户端可识别的内容类型列表

Content-Length    附加到请求的数据字节数

3.空行：最后一个请求头标之后是一个空行，发送回车符和退行，通知服务器以下不再有头标。

4.请求数据：使用POST传送数据，最常使用的是Content-Type和Content-Length头标。

三、服务端接受请求并返回HTTP响应

Web服务器解析请求，定位指定资源。服务器将资源副本写至套接字，在此处由客户端读取。

一个响应由四个部分组成：状态行、响应头标、空行、响应数据

1.状态行：状态行由三个标记组成：HTTP版本、响应代码和响应描述。

HTTP版本：向客户端指明其可理解的最高版本。

响应代码：3位的数字代码，指出请求的成功或失败，如果失败则指出原因。

响应描述：为响应代码的可读性解释。

例如：HTTP/1.1 200 OK

HTTP响应码：

1xx：信息，请求收到，继续处理

2xx：成功，行为被成功地接受、理解和采纳

3xx：重定向，为了完成请求，必须进一步执行的动作

4xx：客户端错误：

2.响应头标：像请求头标一样，它们指出服务器的功能，标识出响应数据的细节。

3.空行：最后一个响应头标之后是一个空行，发送回车符和退行，表明服务器以下不再有头标。

4.响应数据：HTML文档和图像等，也就是HTML本身。

四、服务器关闭连接，浏览器解析响应

1.浏览器首先解析状态行，查看表明请求是否成功的状态代码。

2.然后解析每一个响应头标，头标告知以下为若干字节的HTML。

3.读取响应数据HTML，根据HTML的语法和语义对其进行格式化，并在浏览器窗口中显示它。

4.一个HTML文档可能包含其它需要被载入的资源引用，浏览器识别这些引用，对其它的资源再进行额外的请求，此过程循环多次。

五、无状态连接

HTTP模型是无状态的，表明在处理一个请求时，Web服务器并不记住来自同一客户端的请求。

六、实例

1.浏览器发出请求

GET /index.html HTTP/1.1

服务器返回响应

HTTP /1.1 200 OK
Date: Apr 11 2006 15:32:08 GMT
Server: Apache/2.0.46(win32)
Content-Length: 119
Content-Type: text/html

<HTML>

<HEAD>
<LINK REL="stylesheet" HREF="index.css">
</HEAD>
<BODY>
<IMG SRC="image/logo.png">
</BODY>
</HTML>

2.浏览器发出请求

GET /index.css HTTP/1.1

服务器返回响应

HTTP /1.1 200 OK
Date: Apr 11 2006 15:32:08 GMT
Server: Apache/2.0.46(win32)
Connection: Keep-alive, close
Content-Length: 70
Content-Type: text/plane

h3{

    font-size:20px;
    font-weight:bold;
    color:#005A9C;
}

3.浏览器发出请求

GET image/logo.png HTTP/1.1

服务器返回响应

HTTP /1.1 200 OK
Date: Apr 11 2006 15:32:08 GMT
Server: Apache/2.0.46(win32)
Connection: Keep-alive, close
Content-Length: 1280
Content-Type: text/plane

{Binary image data follows}

（附录）

1.HTTP规范：Internet工程制定组织（IETF）发布的RFC指定Internet标准，这些RFC被Internet研究发展机构广泛接受。因为它们是标准文档，故一般用正规语言编写，如立法文标一样。

2.RFC：RFC一旦被提出，就被编号且不会再改变，当一个标准被修改时，则给出一个新的RFC。作为标准，RFC在Internet上被广泛采用。

3.HTTP的几个重要RFC：
    RFC1945    HTTP 1.0 描述
    RFC2068    HTTP 1.1 初步描述

    RFC2616    HTTP 1.1 标准

4.资源标识符URI（Uniform Resource Identifter，URI）

HTTP参考

一、HTTP码应码

响应码由三位十进制数字组成，它们出现在由HTTP服务器发送的响应的第一行。

响应码分五种类型，由它们的第一位数字表示：

1.1xx：信息，请求收到，继续处理
2.2xx：成功，行为被成功地接受、理解和采纳
3.3xx：重定向，为了完成请求，必须进一步执行的动作
4.4xx：客户端错误，请求包含语法错误或者请求无法实现

5.5xx：服务器错误，服务器不能实现一种明显无效的请求

下表显示每个响应码及其含义：

100            继续
101            分组交换协
200            OK
201            被创建
202            被采纳
203            非授权信息
204            无内容
205            重置内容
206            部分内容
300            多选项
301            永久地传送
302            找到
303            参见其他
304            未改动
305            使用代理
307            暂时重定向
400            错误请求
401            未授权
402            要求付费
403            禁止
404            未找到
405            不允许的方法
406            不被采纳
407            要求代理授权
408            请求超时
409            冲突
410            过期的
411            要求的长度
412            前提不成立
413            请求实例太大
414            请求URI太大
415            不支持的媒体类型
416            无法满足的请求范围
417            失败的预期
500            内部服务器错误
501            未被使用
502            网关错误
503            不可用的服务
504            网关超时
505            HTTP版本未被支持

二、HTTP头标

头标由主键/值对组成。它们描述客户端或者服务器的属性、被传输的资源以及应该实现连接。

四种不同类型的头标：

1.通用头标：即可用于请求，也可用于响应，是作为一个整体而不是特定资源与事务相关联。
2.请求头标：允许客户端传递关于自身的信息和希望的响应形式。
3.响应头标：服务器和于传递自身信息的响应。
4.实体头标：定义被传送资源的信息。即可用于请求，也可用于响应。

头标格式：<name>:<value><CRLF>

下表描述在HTTP/1.1中用到的头标

Accept                         定义客户端可以处理的媒体类型，按优先级排序；

                                      在一个以逗号为分隔的列表中，可以定义多种类型和使用通配符。例如：Accept: image/jpeg,image/png,*/*

Accept-Charset        定义客户端可以处理的字符集，按优先级排序；

                                      在一个以逗号为分隔的列表中，可以定义多种类型和使用通配符。例如：Accept-Charset: iso-8859-1,*,utf-8

Accept-Encoding     定义客户端可以理解的编码机制。例如：Accept-Encoding:gzip,compress

Accept-Language    定义客户端乐于接受的自然语言列表。例如：Accept-Language: en,de

Accept-Ranges        一个响应头标，它允许服务器指明：将在给定的偏移和长度处，为资源组成部分的接受请求。

                                     该头标的值被理解为请求范围的度量单位。例如Accept-Ranges: bytes或Accept-Ranges: none

Age                              允许服务器规定自服务器生成该响应以来所经过的时间长度，以秒为单位。

                                     该头标主要用于缓存响应。例如：Age: 30

Allow                           一个响应头标，它定义一个由位于请求URI中的次源所支持的HTTP方法列表。例如：Allow: GET,PUT

AUTHORIZATION    一个响应头标，用于定义访问一种资源所必需的授权（域和被编码的用户ID与口令）。

                                     例如：Authorization: Basic YXV0aG9yOnBoaWw=

Cache-Control         一个用于定义缓存指令的通用头标。例如：Cache-Control: max-age=30

Connection               一个用于表明是否保存socket连接为开放的通用头标。例如：Connection: close或Connection: keep-alive

Content-Base           一种定义基本URI的实体头标，为了在实体范围内解析相对URLs。

                                     如果没有定义Content-Base头标解析相对URLs，使用Content-Location URI（存在且绝对）或使用URI请求。

                                     例如：Content-Base: Http://www.myweb.com

Content-Encoding   一种介质类型修饰符，标明一个实体是如何编码的。例如：Content-Encoding: zip

Content-Language   用于指定在输入流中数据的自然语言类型。例如：Content-Language: en

Content-Length        指定包含于请求或响应中数据的字节长度。例如：Content-Length:382

Content-Location     指定包含于请求或响应中的资源定位（URI）。
                                      如果是一绝。对URL它也作为被解析实体的相对URL的出发点。

                                      例如：Content-Location: http://www.myweb.com/news

Content-MD5             实体的一种MD5摘要，用作校验和。

                                      发送方和接受方都计算MD5摘要，接受方将其计算的值与此头标中传递的值进行比较。

                                      例如：Content-MD5: <base64 of 128 MD5 digest>

Content-Range         随部分实体一同发送；标明被插入字节的低位与高位字节偏移，也标明此实体的总长度。

                                     例如：Content-Range: 1001-2000/5000

Contern-Type           标明发送或者接收的实体的MIME类型。例如：Content-Type: text/html

Date                            发送HTTP消息的日期。例如：Date: Mon,10PR 18:42:51 GMT

ETag                           一种实体头标，它向被发送的资源分派一个唯一的标识符。

                                     对于可以使用多种URL请求的资源，ETag可以用于确定实际被发送的资源是否为同一资源。

                                     例如：ETag: "208f-419e-30f8dc99"

Expires                      指定实体的有效期。例如：Expires: Mon,05 Dec 2008 12:00:00 GMT

Form                           一种请求头标，给定控制用户代理的人工用户的电子邮件地址。例如：From: webmaster@myweb.com

Host                            被请求资源的主机名。对于使用HTTP/1.1的请求而言，此域是强制性的。例如：Host: www.myweb.com

If-Modified-Since      如果包含了GET请求，导致该请求条件性地依赖于资源上次修改日期。

                                      如果出现了此头标，并且自指定日期以来，此资源已被修改，应该反回一个304响应代码。

                                      例如：If-Modified-Since: Mon,10PR 18:42:51 GMT

If-Match                      如果包含于一个请求，指定一个或者多个实体标记。只发送其ETag与列表中标记区配的资源。

                                     例如：If-Match: "208f-419e-308dc99"

If-None-Match           如果包含一个请求，指定一个或者多个实体标记。资源的ETag不与列表中的任何一个条件匹配，操作才执行。

                                     例如：If-None-Match: "208f-419e-308dc99"

If-Range                     指定资源的一个实体标记，客户端已经拥有此资源的一个拷贝。必须与Range头标一同使用。

                                     如果此实体自上次被客户端检索以来，还不曾修改过，那么服务器只发送指定的范围，否则它将发送整个资源。

                                     例如：Range: byte=0-499<CRLF>If-Range:"208f-419e-30f8dc99"

If-Unmodified-Since    只有自指定的日期以来，被请求的实体还不曾被修改过，才会返回此实体。

                                     例如：If-Unmodified-Since:Mon,10PR 18:42:51 GMT

Last-Modified           指定被请求资源上次被修改的日期和时间。例如：Last-Modified: Mon,10PR 18:42:51 GMT

Location                     对于一个已经移动的资源，用于重定向请求者至另一个位置。

                                     与状态编码302（暂时移动）或者301（永久性移动）配合使用。

                                     例如：Location: http://www2.myweb.com/index.jsp

Max-Forwards         一个用于TRACE方法的请求头标，以指定代理或网关的最大数目，该请求通过网关才得以路由。

                                    在通过请求传递之前，代理或网关应该减少此数目。例如：Max-Forwards: 3

Pragma                     一个通用头标，它发送实现相关的信息。例如：Pragma: no-cache

Proxy-Authenticate    类似于WWW-Authenticate，便是有意请求只来自请求链（代理）的下一个服务器的认证。

                                    例如：Proxy-Authenticate: Basic realm-admin

Proxy-Proxy-Authorization    类似于授权，但并非有意传递任何比在即时服务器链中更进一步的内容。

                                    例如：Proxy-Proxy-Authorization: Basic YXV0aG9yOnBoaWw=

Public                         列表显示服务器所支持的方法集。例如：Public: OPTIONS,MGET,MHEAD,GET,HEAD

Range                        指定一种度量单位和一个部分被请求资源的偏移范围。例如：Range: bytes=206-5513

Refener                     一种请求头标域，标明产生请求的初始资源。对于HTML表单，它包含此表单的Web页面的地址。

                                     例如：Refener: http://www.myweb.com/news/search.html

Retry-After               一种响应头标域，由服务器与状态编码503（无法提供服务）配合发送，以标明再次请求之前应该等待多长时间。

                                     此时间即可以是一种日期，也可以是一种秒单位。例如：Retry-After: 18

Server                        一种标明Web服务器软件及其版本号的头标。例如：Server: Apache/2.0.46(Win32)

Transfer-Encoding  一种通用头标，标明对应被接受方反向的消息体实施变换的类型。例如：Transfer-Encoding: chunked

Upgrade                      允许服务器指定一种新的协议或者新的协议版本，与响应编码101（切换协议）配合使用。

                                      例如：Upgrade: HTTP/2.0

User-Agent                定义用于产生请求的软件类型（典型的如Web浏览器）。

                                     例如：User-Agent: Mozilla/4.0(compatible; MSIE 5.5; Windows NT; DigExt)

Vary                            一个响应头标，用于表示使用服务器驱动的协商从可用的响应表示中选择响应实体。例如：Vary: *

Via                               一个包含所有中间主机和协议的通用头标，用于满足请求。例如：Via: 1.0 fred.com, 1.1 wilma.com

Warning                     用于提供关于响应状态补充信息的响应头标。例如：Warning: 99 www.myweb.com Piano needs tuning

www-Authenticate    一个提示用户代理提供用户名和口令的响应头标，与状态编码401（未授权）配合使用。响应一个授权头标。

                                   例如：www-Authenticate: Basic realm=zxm.mgmt