解释什么是报文，http、https、Tcp的三次握手和四次挥手

什么是报文？

　　报文(message)是网络中交换与传输的数据单元，即站点一次性要发送的数据块。报文包含了将要发送的完整的数据信息，其长短很不一致，长度不限且可变。

　有何作用？

　　　　报文多是多个系统之间需要通信的时候，比如银行ESB系统到网关系统再到银联系统。在这中间报文就承担了装载数据，运输数据的功能，可能在这三个系统中报文的格式互不相同，但是其承载的数据都是一样的。

 

什么是http？

　　HTTP是hypertext transfer protocol（超文本传输协议）的简写，它是TCP/IP协议的一个应用层协议，用于定义WEB浏览器与WEB服务器之间交换数据的过程。客户端连上web服务器后，若想获得web服务器中的某个web资源，需遵守一定的通讯格式，HTTP协议用于定义客户端与web服务器通迅的格式。

在日常的前端开发里面，我们离不开请求后端的接口获取数据对页面进行渲染，那么可以说前端开发对于http的使用是几乎无时无刻的在使用。那么我们常用的Ajax就是基于http协议进行数据传输和接受的，所以前端开发工程师必须对http有一定程度的了解。

http的特点

• 简单快速：客户向服务器请求服务时，只需传送请求方法和路径。请求方法常用的有GET、HEAD、POST。每种方法规定了客户与服务器联系的类型不同。由于HTTP协议简单，使得HTTP服务器的程序规模小，因而通信速度很快。
• 灵活：HTTP允许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。
• 无连接：无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求，并收到客户的应答后，即断开连接。采用这种方式可以节省传输时间。
• 无状态：HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。另一方面，在服务器不需要先前信息时它的应答就较快。
  5、支持B/S及C/S模式。

那么前端对于这些特点，我们需要关注的点有以下几点：

1. 请求方法中，我们一般是使用GET和POST为主，当然如果你想要遵从RESTful API的话就不单单是用GET和POST了，还有PUT、PATCH、DELETE了。
2. Content-Type是一个修改请求体的数据格式的参数(例如：POST),在前端开发的过程中，我们和不同业务线的后端对接，可能他们接收POST的请求体的接收格式不一样，经常会遇到我为什么我之前提交的方式都可以，换成这个项目为什么后端收不到，那么第一时间可以检查一下提交的数据格式是否是后端接收的格式，一般能解决90%这一类问题。具体的Content-Type类型之后再详细说明。
3. 无状态是一个很大的特点，也是一个很大的缺点，因为有这个特性，所以服务器不需要关注请求这个接口的用户的状态，但是往往实现一些像登录这一类的功能的时候，或者商城的列表页根据用户不同，可以做一些精准化展示数据的时候就很麻烦了，所以才会出现SESSION和COOKIES这两个东西。

http的请求方式：

1. OPTIONS - 返回服务器针对特定资源所支持的HTTP请求方法，也可以利用向web服务器发送‘*’的请求来测试服务器的功能性
2. HEAD - 向服务器索与GET请求相一致的响应，只不过响应体将不会被返回。这一方法可以再不必传输整个响应内容的情况下，就可以获取包含在响应小消息头中的元信息。
3. GET - 向特定的资源发出请求。它本质就是发送一个请求来取得服务器上的某一资源。资源通过一组HTTP头和呈现数据（如HTML文本，或者图片或者视频等）返回给客户端。GET请求中，永远不会包含呈现数据。
4. POST - 向指定资源提交数据进行处理请求（例如提交表单或者上传文件）。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。 Loadrunner中对应POST请求函数：web_submit_data,web_submit_form
5. PUT - 向指定资源位置上传其最新内容
6. DELETE - 请求服务器删除Request-URL所标识的资源
7. TRACE - 回显服务器收到的请求，主要用于测试或诊断
8. CONNECT - HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。

http的基本链接原理

因为http是基于TCP/IP的协议，所以还是要说说这个面试老题，3次握手4次挥手的问题了。

三次握手：

1. 第一次握手：客户端发送了一个带有SYN(建立连接)的Tcp报文到服务器，这个三次握手中的开始。表示客户端想要和服务端建立连接。
2. 第二次握手：服务端接收到客户端的请求，返回客户端报文，这个报文带有SYN(建立连接)和ACK(确认)标志，询问客户端是否准备好。
3. 第三次握手：.客户端再次响应服务端一个ACK(确认)，表示我已经准备好。

为什么要3次握手那么麻烦？

当然这个其实作为一个前端不需要关注，因为其实基本没你什么事情，但是了解到这一些基本知识，对于日后排除页面性能的时候，某些指标就是需要了解整个http链接过程了。言归正传，为什么需要三次握手呢？

因为第一次握手的时候，客户端发送了一个请求，之后因为网络原因或者任何原因，客户端断网了或者没有收到服务器回传的ACK确认码，在这种情况下，如果服务器不去接收客户端回传ACK码确认，就开启链接，在这个时候就浪费了服务器的资源了，所以第三次握手就为这样的一种情况设计的，服务器必须确认客户端接收到了ACK码才开启连接。

四次挥手：

1. 第一次握手：客户端发送一个FIN(结束)，用来关闭客户到服务端的连接。
2. 第二次握手：服务端收到这个FIN，他发回一个ACK(确认)，确认收到序号为收到序号+1，和SYN一样，一个FIN将占用一个序号。
3. 第三次握手：服务端发送一个FIN(结束)到客户端，服务端关闭客户端的连接。
4. 第四次握手：客户端发送ACK(确认)报文确认，并将确认的序号+1，这样关闭完成。

那么为什么关闭一个http请求需要走4次握手呢？

因为服务器收到了客户端的FIN报文请求关闭连接的时候，服务器端很可能并不会立即关闭连接，而是需要等待所有数据都传输完毕后才进行关闭，所以会先回复一个ACK报文告诉客户端收到了FIN报文，当数据都传输完毕了，才使用FIN报文告诉客户端现在可以进行关闭了，客户端回复ACK报文进行确认，彼此才真正关闭连接。因此需要4次握手。

什么是https?

　　　　HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是一个安全通信通道，它基于HTTP开发，用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换，简单来说它是HTTP的安全版。 它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的安 全全套接字层(SSL)作为HTTP应用层的子层。(HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。)SSL使 用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。　

HTTPS和HTTP的区别：

　　https协议需要到ca申请证书，一般免费证书很少，需要交费。 http是超文本传输协议，信息是明文传输，https 则是具有安全性的ssl加密传输协议 http和https使用的是完全不同的连接方式用的端口也不一样,前者是80,后者是443。
http的连接很简单,是无状态的 HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议 要比http协议安全 HTTPS解决的问题：
1 . 信任主机的问题. 采用https 的server 必须从CA 申请一个用于证明服务器用途类型的证书. 改证书只有用于对应的server 的时候,客户度才信任次主机. 所以目前所有的银行系统网站,关键部分应用都是https 的. 客户通过信任该证书,从而信任了该主机. 其实这样做效率很低,但是银行更侧重安全. 这一点对我们没有任何意义,我们的server ,采用的证书不管自己issue 还是从公众的地方issue, 客户端都是自己人,所以我们也就肯定信任该server.
2 . 通讯过程中的数据的泄密和被窜改
一般意义上的https, 就是 server 有一个证书.
a) 主要目的是保证server 就是他声称的server. 这个跟第一点一样.
b) 服务端和客户端之间的所有通讯,都是加密的. i. 具体讲,是客户端产生一个对称的密钥,通过server 的证书来交换密钥. 一般意义上的握手过程. ii. 加下来所有的信息往来就都是加密的. 第三方即使截获,也没有任何意义.因为他没有密钥. 当然窜改也就没有什么意义了.
少许对客户端有要求的情况下,会要求客户端也必须有一个证书.
a) 这里客户端证书,其实就类似表示个人信息的时候,除了用户名/密码, 还有一个CA 认证过的身份. 应为个人证书一般来说上别人无法模拟的,所有这样能够更深的确认自己的身份.
b) 目前少数个人银行的专业版是这种做法,具体证书可能是拿U盘作为一个备份的载体.像我用的交通银行的网上银行就是采取的这种方式。 HTTPS 一定是繁琐的. a) 本来简单的http协议,一个get一个response. 由于https 要还密钥和确认加密算法的需要.单握手就需要6/7 个往返. i. 任何应用中,过多的round trip 肯定影响性能. b) 接下来才是具体的http协议,每一次响应或者请求, 都要求客户端和服务端对会话的内容做加密/解密. i. 尽管对称加密/解密效率比较高,可是仍然要消耗过多的CPU,为此有专门的SSL 芯片. 如果CPU 信能比较低的话,肯定会降低性能,从而不能serve 更多的请求.

符：SSL的简介：
SSL是Netscape公司所提出的安全保密协议，在浏览器(如Internet Explorer、Netscape Navigator)和Web服务器(如Netscape的Netscape Enterprise Server、ColdFusion Server等等)之间构造安全通道来进行数据传输，SSL运行在TCP/IP层之上、应用层之下，为应用程序提供加密数据通道，它采用了RC4、MD5 以及RSA等加密算法，使用40 位的密钥，适用于商业信息的加密。同时，Netscape公司相应开发了HTTPS协议并内置于其浏览器中，HTTPS实际上就是SSL over HTTP，它使用默认端口443，而不是像HTTP那样使用端口80来和TCP/IP进行通信。HTTPS协议使用SSL在发送方把原始数据进行加密，然 后在接受方进行解密，加密和解密需要发送方和接受方通过交换共知的密钥来实现，因此，所传送的数据不容易被网络黑客截获和解密。 然而，加密和解密过程需要耗费系统大量的开销，严重降低机器的性能，相关测试数据表明使用HTTPS协议传输数据的工作效率只有使用HTTP协议传输的十 分之一。假如为了安全保密，将一个网站所有的Web应用都启用SSL技术来加密，并使用HTTPS协议进行传输，那么该网站的性能和效率将会大大降低，而 且没有这个必要，因为一般来说并不是所有数据都要求那么高的安全保密级别，所以，我们只需对那些涉及机密数据的交互处理使用HTTPS协议，这样就做到鱼与熊掌兼得。总之不需要用https 的地方,就尽量不要用。