当前位置：首页 > article >正文

【HTTP三个基础问题】

article 2025/6/12 16:41:30

面试官您好！HTTP是超文本传输协议，是互联网上客户端和服务器之间传输超文本数据（比如文字、图片、音频、视频等）的核心协议，当前互联网应用最广泛的版本是HTTP1.1，它基于经典的C/S模型，也就是客户端-服务器模型，一次完整的HTTP通信包含客户端发起请求到服务器响应的全过程。

首先来看客户端发起的HTTP请求报文。请求报文由客户端（比如浏览器、App）向服务器发起，主要由四个部分构成：请求行、请求头、空行和请求体。

第一部分是请求行，主要功能是说明客户端对服务器资源执行的操作。它由方法（Method）、资源路径（Resource Path）、HTTP版本三个部分构成，每部分用空格隔开。

请求方法定义操作类型，比如常见的GET用于获取资源（像浏览器访问网页），POST用于提交数据（如登录时发送账号密码）。
**URI（统一资源标识符）**即资源路径，标识请求针对的资源，例如/api/user指向用户数据接口。
HTTP版本常见的有1.1、2.0等，例如HTTP/1.1表示使用该版本的通信规则。

第二部分是请求头，由多行key:value键值对组成，每行以回车换行（\r\n）符号分割，类似快递单上的额外备注信息，传递请求的附加信息。常见字段包括：

User-Agent：告诉服务器客户端类型（如Chrome浏览器或手机App），方便服务器返回适配内容。
Content-Type：说明请求体的数据格式，比如application/json表示请求体是JSON数据。
Host：请求的服务器域名，用于区分同一IP下的不同站点。
Accept：客户端能处理的媒体类型，如text/html表示可接收网页内容。
Accept-Encoding：客户端支持的内容编码，如gzip表示可接收压缩数据。
Authorization：用于身份验证的凭证（如登录令牌），服务器通过它识别用户权限。
Cookie：客户端存储的会话信息（如登录态），服务器通过它维持用户会话。
每行\r\n的作用像表格换行，确保每个键值对独立清晰。

第三部分是空行，仅有一个\r\n，是请求头部和请求正文的分隔符，明确划分不同区域的界限。

第四部分是请求正文，存放客户端提交的数据，格式灵活，可以是普通字符串、JSON、XML等。例如登录时提交的账号密码（JSON格式）、上传文件的二进制数据，都通过请求正文传递给服务器，GET请求通常没有请求体。

服务器收到请求后，会返回响应报文，响应报文同样包含四个部分：

第一部分是状态行，格式为协议版本+状态码+状态短语，例如HTTP/1.1 200 OK。

状态码是核心反馈结果：2xx表示成功（如200 OK），3xx表示重定向（如302 Found），4xx表示客户端错误（如404 Not Found资源不存在），5xx表示服务器错误（如500 Internal Server Error）。

第二部分是响应头，也是多行key:value键值对，传递结果附加信息。例如：

Content-Type：响应体的数据类型（如application/json表示接口返回JSON数据）。
Cache-Control：缓存策略（如max-age=3600表示客户端可缓存响应1小时）。
Set-Cookie：服务器给客户端设置的Cookie（如登录态），用于维持会话。
Access-Control-Allow-Origin：跨域资源共享策略（如*表示允许所有域名跨域访问）。

第三部分是空行，同样用\r\n分隔响应头和响应体。

第四部分是响应体，是服务器返回的核心数据，可能是HTML页面代码、JSON接口结果、图片/视频二进制数据等。例如访问网页时，响应体包含HTML代码，浏览器解析后渲染页面。

二、HTTP有哪些请求方式？

面试官您好！HTTP请求方式是客户端对服务器资源的操作指令，不同方法对应不同语义，可按功能分为三类，同时涉及安全性和幂等性概念。

先明确两个核心概念：

安全性：是否会修改服务器资源状态（“读操作”安全，“写操作”不安全）。
幂等性：多次执行同一请求，服务器资源状态是否一致（幂等方法结果不变，非幂等可能改变）。

（一）读操作（安全、幂等）

GET
- 用途：获取资源（查数据），如浏览器访问网页GET https://www.example.com或API查列表GET /api/articles。
- 特点：参数拼在URL（如?id=123），可缓存、易分享，但敏感数据易暴露（如密码不能用GET传递）。
- 安全/幂等：安全（仅读取）、幂等（多次请求结果一致）。
HEAD
- 用途：仅获取响应头（不返回正文），用于检查资源元数据（如HEAD /file.zip查看文件是否存在、大小）。
- 特点：轻量高效，常做“预检”（如下载大文件前确认信息）。
- 安全/幂等：安全（仅读头）、幂等（多次请求头信息不变）。

（二）写操作（非安全，部分幂等）

POST
- 用途：提交数据创建资源（写操作），如登录表单POST /api/login、上传文件。
- 特点：数据放请求体（相对隐蔽），但非幂等（多次提交可能创建多条数据，如重复下单）。
- 安全/幂等：非安全（修改状态）、非幂等。
PUT
- 用途：全量更新资源（替换数据），如修改用户资料PUT /api/user/123（需传完整信息）。
- 特点：幂等（多次用相同数据更新，结果一致）。
- 安全/幂等：非安全（修改状态）、幂等。
PATCH
- 用途：局部更新资源（修改部分字段），如改用户昵称PATCH /api/user/123（仅传{"nickname":"new"}）。
- 特点：灵活高效，但非幂等（多次调用持续修改，如多次“积分+10”）。
- 安全/幂等：非安全、非幂等。
DELETE
- 用途：删除资源，如删订单DELETE /api/order/123。
- 特点：幂等（多次删除结果一致，资源已删除）。
- 安全/幂等：非安全、幂等。

（三）控制操作（安全、幂等）

OPTIONS
- 用途：查询服务器支持的方法，常用于跨域预检（如前端发POST前，浏览器自动发OPTIONS询问权限）。
- 特点：无实际业务逻辑，仅协商规则。
- 安全/幂等：安全（不修改状态）、幂等。

实际场景选择：遵循RESTful规范，查数据用GET，创建用POST，全量更新用PUT，局部更新用PATCH，删除用DELETE。例如电商系统中，查商品用GET，下单用POST，改地址用PUT，删订单用DELETE，语义清晰且符合规范。

三、GET请求和POST请求的区别

面试官您好！GET和POST是最常用的HTTP方法，核心区别体现在用途、数据传递、安全、幂等性等方面，结合场景选择能避免设计误区。

（一）五大核心差异

维度	GET	POST
核心用途	读资源（查数据，如查商品详情）	写资源（提交数据，如下单、登录）
数据位置	拼在URL（如`?keyword=手机`）	放请求体（如JSON格式的账号密码）
安全性	低（参数暴露在URL，易被记录）	中（数据在体内，但HTTP不加密）
幂等性	幂等（多次请求结果一致）	非幂等（多次提交可能重复创建）
缓存支持	可缓存（浏览器自动存URL响应）	默认不缓存（需显式设置）

（二）逐场景解析

用途与数据传递：
- GET适合读操作，如浏览网页GET https://example.com/article/123，参数在URL清晰可见，适合公开场景（如搜索关键词）。
- POST适合写操作，如登录POST /api/login，账号密码放请求体，避免暴露在URL（但需配合HTTPS加密才安全）。
安全性对比：
- GET的URL参数会被浏览器历史、服务器日志记录，公共网络下传敏感数据（如密码）风险极高。
- POST的数据在请求体，抓包工具虽能截取，但配合HTTPS加密（TLS层）可保障安全（如电商支付场景必须用POST+HTTPS）。
幂等性与缓存：
- GET幂等，多次刷新商品详情页不会改变服务器数据；POST非幂等，重复提交订单会生成多个记录。
- GET响应可被浏览器缓存，提升性能（如新闻列表页）；POST默认不缓存，因写操作结果可能每次不同。

（三）典型场景选择

选GET：查公开数据（如商品搜索）、需缓存的页面（如静态资源）、支持书签分享的场景（如文章链接）。
选POST：提交敏感数据（如登录、支付）、传大量数据（如上传文件）、改变服务器状态的操作（如发布评论）。

反例提醒：避免用GET传密码（URL暴露风险），也不建议用POST做查询（违背语义，团队协作易困惑）。遵循HTTP方法的设计初衷，能让接口更健壮、易维护。

总结

HTTP报文结构是通信的“骨架”，请求方法是操作的“灵魂”，GET/POST的差异则是实际开发的“指南针”。理解这些细节，不仅能应对面试，更能在实际项目中设计出高效、安全的接口，例如通过请求头缓存控制提升性能，或用HTTPS+POST保障敏感数据传输。