浅析http协议、cookies和session机制、浏览器缓存-PHP Tutorial-php.cn

Home

Backend Development

PHP Tutorial

浅析http协议、cookies和session机制、浏览器缓存

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 20, 2016 pm 01:03 PM

http

最近几天在复习http协议中headers，cookies、session、缓存等相关知识，发现些新知识点。

这篇文章注重结合PHP去理解这些内容，也就是比较注重实践部分。

一、http headers

NO1：对于web应用，用户群在客户端（各种浏览器）点击任何一个连接向服务器发送http请求，这过程肯定需要3次握手，建立连接，服务器响应返回数据。

每次请求都有头部和实体部分，先看下面笔者监听QQ空间的headers，QQ空间的原因是它头部内容比较全

    Request Headers： 
       
    GET http://user.qzone.qq.com/445235728 HTTP/1.1 
       
    Host: user.qzone.qq.com 
       
    Connection: keep-alive 
       
    Cache-Control: max-age=0 
       
    User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.11 (KHTML, like Gecko) Chrome/17.0.963.56 Safari/535.11 
       
    Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 
       
    Referer: http://qzone.qq.com/ 
       
    Accept-Encoding:gzip,deflate,sdch 
       
    Accept-Language: zh-CN,zh;q=0.8 
       
    Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3 
       
    Cookie:o_cookie=445235728;(省略很多&hellip;&hellip;) 
       
    If-Modified-Since: Wed, 13 Jun 2012 01:32:19 GMT 
       
    ----------------- 
       
    Response Headers： 
       
    HTTP/1.1 200 OK 
       
    Connection:close 
       
    Server: QZHTTP-2.34.0 
       
    Date: Wed, 13 Jun 2012 02:59:31 GMT 
       
    Content-Encoding: gzip 
       
    Set-Cookie:login_time=61F0EEA02D704B1DBCF25166A74941B24F4BE24B205C466F;PATH=/; DOMAIN=qzone.qq.com 
       
    Set-Cookie:Loading=Yes;expires=Wed,13-Jun-201216:00:00GMT;PATH=/;DOMAIN=qzone.qq.com X-UA-Compatible: IE=Edge Last-Modified: Wed, 13 Jun 2012 02:59:31 GMT 
       
    Cache-Control: max-age=0, no-transform 
       
    Content-Type: text/html;charset=utf-8 
       
    Transfer-Encoding: chunked

1、客户端请求headers包含了请求行和一些头域。

请求行：请求的方法统一资源标识器（URL）协议版本 ------这三者用空格分开，最后换行回车(\r\n) 例如：GET http://user.qzone.qq.com/445235728 HTTP/1.1

各种头域：这些头域都是有关键字和键值成对组合，最后换行回车(\r\n)结束，这些头域告诉服务器应该怎么去响应以及本身一些信息。

2、服务器响应

状态行：协议版本响应状态状态描述 ------这三者用空格分开，最后换行回车(\r\n) 例如：HTTP/1.1 200 OK

各种头域：这些头域也是有关键字和键值成对组合，最后换行回车(\r\n)结束，这些头域告诉客户端应该怎么去响应以及本身一些信息。

NO2

这里就不一一说每个头域的概念和作用，想了解的请看：http://www.phpben.com/?post=34 现在介绍几个认为重要、在一些网站上的测试数据、以及请求返回各头域php代码实现

测试时间：2012.6.14前

测试对象：csdn 、cnbeta 、cnblos、腾讯（QQ空间、朋友网、新闻网）、新浪（微博、主页）、人人网、百度、淘宝、优酷、土豆这些网站

(1) Connection头域：这个头域只有http/1.1才有，默认是keep-alive值表示长连接，这样的话就不用每请求一个资源比如图片，css文件，js文件都要和服务器进行3此握手连接，这个在一定程度上弥补了http没状态的一个缺陷，减少连接服务器的时间。

查看测试网站Connection头域发现腾讯QQ空间、腾讯新闻网、新浪主页和微博，优酷和土豆Connection：close；除了这些其他的都是Connection：keep-alive

为什么?

1、connection: keep-alive 能正常使用的一个前提条件是还要提供content-length的头域告诉客户端正文的长度。那计算正文长度是个问题，对于多内容，集群服务器来说不是件易事。腾讯和新浪，优酷的这些都很难计算，对与工程师来说之间关闭了（默认是打开的）。

2、老服务器端不支持，对于腾讯，新浪这些老油条，服务器集群很庞大，难免有些老旧的不支持长连接的，为了一些兼容性问题，直接关闭了

Ps：这两点原因未求证过！^-^

用php headers(“Connection:keep-alive”);

(2) Content-Encoding头域

Content-Encoding文档的编码（Encode）方法.

上述网站出了cnbeta不用gzip压缩，优酷用deflate，其余都是。这也透漏一个重要信息，那就phper要掌握压缩gzip传输技术。

Php可以通过mod_gzip模块来实现。代码：ob_start("ob_gzhandler");

(3) Server头域暴漏服务器重要的安全信息。

Csdn：Server:nginx/0.7.68 ------------版本都暴露

腾讯QQ空间：Server:QZHTTP-2.34.0--------某位tx朋友透漏这是内部自己开发的服务器，这个可够安全

新浪微博：Server:apache -------------这个没暴漏版本

凤凰网：Server: nginx/0.8.53

人人网：Server:nginx/1.2.0

淘宝网：Tengine ---------这是淘宝内部技术团队开发的web服务器，基于Nginx

cnblogs博客园：Server:Microsoft-IIS/7.5

腾讯朋友网：Tencent/PWS ---------腾讯内部开发

腾讯新闻网：Server:squid/3.1.18

优酷网：Server: fswww1-----------是不是内部就不清楚，至少笔者不知道什么来的^_^

土豆网：Tengine/1.2.3

百度：server: BWS/1.0 ---------应该也是百度内部自己开发的服务器

很明显Server头域是返回服务器的信息，但也可以说暴漏信息，面对这个问题，大公司就自己开发基于自己功能的内部服务器。

(4) X-Powered-By头域可供修改，基于安全则可以修改

X-Powered-By头域反应什么语言什么版本执行后台程序。这个可以同个header函数修改

header("X-Powered-By:acb");

(5) Cache-control、expires、last-modified等重要头域

Cache-control:指定请求和响应遵循的缓存机制。在请求消息或响应消息中设置Cache-Control并不会修改另一个消息处理过程中的缓存处理过程。请求时的缓存指令包括no-cache、no-store、max-age、max-stale、min-fresh、only-if-cached，响应消息中的指令包括public、private、no-cache、no-store、no-transform、must-revalidate、proxy-revalidate、max-age。

Php代码实现：header("cache-control: abc");abc是上述指令值一个或多个，多个用’,’分开

Expires:告诉浏览器指明应该在什么时候认为文档已经过期，从而不再缓存它。代码实现：header("Expires:". date('D, d M Y H:i:s \G\M\T', time()+10));--------这个是把时间截转化成格林时区字符串给expires头域，这个显示时间会比中国北京时间少8个小时，东8区的实现：header("Expires:". date('r', time()+10))

last-modified：这个是服务器返回给浏览器，浏览器下次请求则把该值赋给if-modified-since头域传给服务器，服务器就可以根据此值判断是否有改变，有则继续运行下去，否者返回304 not modified。Php设置expires头域一样。

代码：

    if(isset($_SERVER[&#39;HTTP_IF_MODIFIED_SINCE&#39;]) && (time()-strtotime($_SERVER[&#39;HTTP_IF_MODIFIED_SINCE&#39;]) < 10)) { 
      header("HTTP/1.1 304 Not Modified"); 
         exit; 
       } 
    header("Last-Modified: " . date(&#39;D, d M Y H:i:s \G\M\T&#39;, time()) );或者header("Last-Modified: " . date(&#39;r&#39;, time()) );

前者是格林时间格式，后者是中国时间。需要注意的就是 php.ini 的时区 prc 则用后则，否者前者。笔者曾经试过在时区是 prc 的情况下用了前者，导致 time()-strtotime($_SERVER['HTTP_IF_MODIFIED_SINCE'])

注意：当请求页面有session_start()的时候，则不管是否有expires、cache-control、last-modified设置，则返回给客户端Cache-Control头域为Cache-Control:no-store, no-cache, must-revalidate Expires头域 Expires:Thu, 19 Nov 1981 08:52:00 GMT。这个问题烦了笔者2天，都以为php.ini 或是apache的问题。最后竟然是session_start()的问题。

二、浏览器缓存动态

前面介绍了http headers几个告诉浏览器如何处理缓存。但不同浏览器处理各种头域的方式不同，以下就是笔者。

Ps：各个浏览器监听http headers的方法可以查看：http://www.phpben.com/?post=76

(1) header(“cache-control: no-store”)

IE9

Google17.0

Firefox11

Maxthon3

点击刷新键

重发请求，返回200状态

地址栏回车

重发请求，返回200状态

点击后退键

同上

(2) header(“cache-control: no-cache”)

IE9

Google17.0

Firefox11

Maxthon3

点击刷新键

重发请求，返回200状态

地址栏回车

重发请求，返回200状态

点击后退键

同上

From cache

同上

(3) header(“cache-control:bublic”)

IE9

Google17.0

Firefox11

Maxthon3

点击刷新键

重发请求，返回200状态

地址栏回车

from cache

重发请求，返回200状态

点击后退键

From cache

同上

(4) header("cache-control:private"); header("cache-control: must-revalidate ")

IE9

Google17.0

Firefox11

Maxthon3

点击刷新键

重发请求，返回200状态

地址栏回车

除第一次外都是from cache

重发请求，返回200状态

点击后退键

From cache

同上

(5) header("cache-control:max-age=num");num是秒数

IE9

Google17.0

Firefox11

Maxthon3

点击刷新键

重发请求，返回200状态

地址栏回车

秒数

重发请求，返回200状态

点击后退键

From cache

同上

(6)

 header("Expires:". date(&#39;D, d M Y H:i:s \G\M\T&#39;, time()+num)); num是秒数

IE9

Google17.0

Firefox11

Maxthon3

点击刷新键

重发请求，返回200状态

地址栏回车

秒数

重发请求，返回200状态

点击后退键

From cache

同上

(7)

  if(isset($_SERVER[&#39;HTTP_IF_MODIFIED_SINCE&#39;]) && (time()-strtotime($_SERVER[&#39;HTTP_IF_MODIFIED_SINCE&#39;]) < num)) {

  header("HTTP/1.1 304 Not Modified");

     exit;

   } header("Last-Modified: " . date(&#39;D, d M Y H:i:s \G\M\T&#39;, time()) );

IE9

Google17.0

Firefox11

Maxthon3

点击刷新键

秒数

重发请求，返回200状态

地址栏回车

from cache

秒数

重发请求，返回200状态

点击后退键

From cache

同上

结论：

1、刷新对于任何浏览器且不管是什么cache-control，都会重新请求，一般返回是200，除非Last-Modified设置

2、后退键除非no-cache; no-store外都是使用缓存

3、 Cache-control:no-store 在浏览器中任何操作都重新提交请求，包括后退

4、遨游3的缓存很差

5、 IE9 的缓存很强，所以用ie9调试的时候尽可能点刷新而不是在地址栏回车

鉴于这种情况，对于不同的应用（有些要缓存，有些经常更新）对于不同的国家各种浏览器份额，而哪种缓存方式。中国IE比较多，加上360浏览器的加入（用IE内核），那就要主要参照IE浏览器。

但笔者还是比较喜欢header("Last-Modified: " . date('D, d M Y H:i:s \G\M\T', time()) );这种方式。结合起来connection:keep-alive能让缓存技术更成熟。

注意：

1、也许你会问，用Cache-control:no-store或Cache-control:no-store，但调试页面还是没原来的缓存。然后清除浏览器缓存关掉重启浏览器，缓存还在。这是因为你的web应用用了文件缓存如ecshop常出现这种情况，这种情况就要进web应用后台删除文件缓存。

2、调试的时候尽可能不要在地址栏回车，特别是IE，google还好一点，但是要知道这次的测试只是各个浏览器中的一个版本，所以调试的时候尽可能点刷新按钮。

3、但在cache-control:max-age=num 和expires 一起使用的时候，前者级别比较高，浏览器会忽略expires的设置。（上面没给出测试内容）

三、 Session和cookies

Session 、cookies是程序员永远讨论的话题之一。

1、简单说一下cookies、session

(1) Cookies是保存在客户端的小段文本，随客户端点每一个请求发送该url下的所有cookies到服务器端。比如在谷歌浏览器下，打开ww.abc.com下的两个文件，a.php包含cookies1和cookies2，b.php包含了cookies3和cookies4，那么在a.php或b.php 点任意一个连接（当然是ww.abc.com服务器上的），浏览器就会把cookies1~4这4个cookies发送给服务器。但是如果在IE9有打开一个包含cookies5的c.php，哪门在google浏览器点击连接是不会发送cookies5的。

(2) Session则保存服务器段，通过唯一的值sessionID来区别每一个用户。SessionID随每个连接请求发送到服务器，服务器根据sessionID来识别客户端，再通过session 的key获取session值。SessionID传回服务器的实现方式可以通过cookies和url回写来实现。

注意：

1、同一个浏览器打开同一个文件，如a.php ，或同时有设置session的两个文件a.php、b.php sessionID则只有一个。（时间上不能是打开a.php 关闭浏览器再打开b.php）

2、不同浏览器在同一时间打开同意文件的sessionID也不一样

3、 sessionID是服务器生成的不规则唯一字符串，如：

PHPSESSID=05dbfffd3453b7be02898fdca4fcd82b;------ PHPSESSID可以通过php.ini中session.name来改变，所以笔者在监听一些大型网站的时候查不出PHPSESSID，这是一个安全因素。

(3) cookies、session在php中的主要相关参数

(1) session.save_handler = ”files”

默认以文件方式存取session数据，如果想要使用自定义的处理器来存取session数据，比如数据库，用”user”。

(2) session.use_cookies = 1 前面说到sessionID用cookies来实现，这里就是，1表示用cookies

(3) session.use_trans_sid = 0 上面是用cookies来实现sessionID，这里值若是1则使用url回写方式，级别比session.use_cookies高

(4) session.use_only_cookies = 0 值为1则sessionID只可以用cookies实现，级别比前两个高

(5) session.cache_expire =180 session 缓存过期的秒数

(6) session.gc_maxlifetime = 1440

设定保存的session文件生存期，超过此参数设定秒数后，保存的数据将被视为’垃圾’并由垃圾回收程序清理。判断标准是最后访问数据的时间(对于FAT文件系统是最后刷新数据的时间)。如果多个脚本共享同一个session.save_path目录但session.gc_maxlifetime不同，将以所有session.gc_maxlifetime指令中的最小值为准。

(4) 图说cookie 、ssession

php代码如下

session_start(); 
   
$_SESSION[&#39;favcolor&#39;] = &#39;green&#39;; 
   
$_SESSION[&#39;animal&#39;]   = &#39;cat&#39;; 
   
$_SESSION[&#39;time&#39;]     = time(); 
   
setcookie("cookie1","www.scutephp.com",time()+3600*10); 
   
setcookie("cookie2","www.scutephp.com",time()+3600*10);

结论：

1、第一次请求是没用cookies的，而第二次有PHPSESSID和两个cookies是因为服务器第一请求返回这个三个cookies。

2、第二次请求比第一次多返回PHPSESSID这个cookies，在第二次则没有了，直到session过期后重新设置。

2、 ;浏览器关掉cookies，session是否可以正常运行？

前面提及sessionID的时候有两种方式。

(1) cookies 方式，在session.use_trans_sid=0 and session.use_cookies = 1的情况下使用。这种方法是每次浏览器端点每个请求，都把sessionID发送到服务器。

(2) url回写，session.use_only_cookies = 0 and session.use_trans_sid=1的情况下，服务器会忽略session.use_trans_sid，在浏览器发hhtp请求后，服务器会在返回页面内容中每个连接后面加上PHPSESSID=05dbfffd3453b7be02898fdca4fcd82b （在php.ini没改session.name，默认是PHPSESSID），这样就算客户端的浏览器禁止了cookies，一样能实现session功能。

这里来个测试：

在1.php文件代码：

    echo &#39;Welcome to page #1<br/>&#39;; 
       
    session_start(); 
       
    $_SESSION[&#39;favcolor&#39;] = &#39;green&#39;; 
       
    $_SESSION[&#39;animal&#39;]   = &#39;cat&#39;; 
       
    $_SESSION[&#39;time&#39;]     = time(); 
       
    // Works if session cookie was accepted 
       
    echo &#39;<br /><a href="2.php">page 1 (这个href中没SID参数)</a><br/>&#39;; 
    // Or maybe pass along the session id, if needed 
       
    echo &#39;<br /><a href="2.php?&#39; . SID . &#39;">page 2 (这个href中有SID参数)</a><br/>&#39;;

在 2.php 文件代码：

session_start(); 
echo &#39;Welcome to page #2<br />&#39;; 
   
echo $_SESSION[&#39;favcolor&#39;],&#39;<br/>&#39;; // green 
   
echo $_SESSION[&#39;animal&#39;],&#39;<br/>&#39;;   // cat 
   
echo date(&#39;Y m d H:i:s&#39;, $_SESSION[&#39;time&#39;]),&#39;<br/>&#39;; 
   
// You may want to use SID here, like we did in page1.php 
   
echo &#39;<br /><a href="1.php">return page 1</a>&#39;;

情景1：没禁用浏览器的cookies（用cookies实现session），则在2.php能正常输出

情景2：禁用用浏览器的cookies且在php.ini开启session.use_trans_sid=1，通过1.php第一连接过去显示不了session的值，但第二个连接则正常显示。（说明url回写正常运行）

Statement

The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn

Springboot怎么使用内置tomcat禁止不安全HTTPMay 12, 2023 am 11:49 AM

Springboot内置tomcat禁止不安全HTTP方法1、在tomcat的web.xml中可以配置如下内容让tomcat禁止不安全的HTTP方法/*PUTDELETEHEADOPTIONSTRACEBASIC2、Springboot使用内置tomcat没有web.xml配置文件，可以通过以下配置进行，简单来说就是要注入到Spring容器中@ConfigurationpublicclassTomcatConfig{@BeanpublicEmbeddedServletContainerFacto

JAVA发送HTTP请求的方式有哪些Apr 15, 2023 am 09:04 AM

1.HttpURLConnection使用JDK原生提供的net，无需其他jar包，代码如下：importcom.alibaba.fastjson.JSON;importjava.io.BufferedReader;importjava.io.InputStream;importjava.io.InputStreamReader;importjava.io.OutputStream;importjava.net.HttpURLConnection;

nginx中如何升级到支持HTTP2.0May 24, 2023 pm 10:58 PM

一、前言#ssl写在443端口后面。这样http和https的链接都可以用listen443sslhttp2default_server;server_namechat.chengxinsong.cn;#hsts的合理使用，max-age表明hsts在浏览器中的缓存时间，includesubdomainscam参数指定应该在所有子域上启用hsts，preload参数表示预加载，通过strict-transport-security:max-age=0将缓存设置为0可以撤销hstsadd_head

Nginx的HTTP2协议优化与安全设置Jun 10, 2023 am 10:24 AM

随着互联网的不断发展和改善，Web服务器在速度和性能上的需求也越来越高。为了满足这样的需求，Nginx已经成功地掌握了HTTP2协议并将其融入其服务器的性能中。HTTP2协议要比早期的HTTP协议更加高效，但同时也存在着特定的安全问题。本文将为您详细介绍如何进行Nginx的HTTP2协议优化和安全设置。一、Nginx的HTTP2协议优化1.启用HTTP2在N

Nginx中HTTP的keepalive怎么配置May 12, 2023 am 11:28 AM

httpkeepalive在http早期，每个http请求都要求打开一个tpcsocket连接，并且使用一次之后就断开这个tcp连接。使用keep-alive可以改善这种状态，即在一次tcp连接中可以持续发送多份数据而不会断开连接。通过使用keep-alive机制，可以减少tcp连接建立次数，也意味着可以减少time_wait状态连接，以此提高性能和提高httpd服务器的吞吐率(更少的tcp连接意味着更少的系统内核调用,socket的accept()和close()调用)。但是，keep-ali

Python的HTTP客户端模块urllib与urllib3怎么使用May 20, 2023 pm 07:58 PM

一、urllib概述：urllib是Python中请求url连接的官方标准库，就是你安装了python，这个库就已经可以直接使用了，基本上涵盖了基础的网络请求功能。在Python2中主要为urllib和urllib2，在Python3中整合成了urllib。Python3.x中将urllib2合并到了urllib，之后此包分成了以下四个模块：urllib.request：它是最基本的http请求模块，用来模拟发送请求urllib.error：异常处理模块，如果出现错误可以捕获这些异常urllib

怎么利用Java实现调用http请求Jun 02, 2023 pm 04:57 PM

一、概述在实际开发过程中，我们经常需要调用对方提供的接口或测试自己写的接口是否合适。很多项目都会封装规定好本身项目的接口规范，所以大多数需要去调用对方提供的接口或第三方接口（短信、天气等）。在Java项目中调用第三方接口的方式有：1、通过JDK网络类Java.net.HttpURLConnection；2、通过common封装好的HttpClient；3、通过Apache封装好的CloseableHttpClient；4、通过SpringBoot-RestTemplate；二、Java调用第三方

Nginx http运行状况健康检查如何配置May 14, 2023 pm 06:10 PM

被动检查对于被动健康检查，nginx和nginxplus会在事件发生时对其进行监控，并尝试恢复失败的连接。如果仍然无法恢复正常，nginx开源版和nginxplus会将服务器标记为不可用，并暂时停止向其发送请求，直到它再次标记为活动状态。上游服务器标记为不可用的条件是为每个上游服务器定义的，其中包含块中server指令的参数upstream：fail_timeout-设置服务器标记为不可用时必须进行多次失败尝试的时间，以及服务器标记为不可用的时间（默认为10秒）。max_fails-设置在fai

See all articles