1.根据HTTP规范，GET用于信息获取，而且应该是安全的和幂等的。

　　(1).所谓安全的意味着该操作用于获取信息而非修改信息。换句话说，GET 请求一般不应产生副作用。就是说，它仅仅是获取资源信息，就像数据库查询一样，不会修改，增加数据，不会影响资源的状态。

　　* 注意：这里安全的含义仅仅是指是非修改信息。

　　(2).幂等的意味着对同一URL的多个请求应该返回同样的结果。这里我再解释一下幂等这个概念：

看完上述解释后，应该可以理解GET幂等的含义了。

　　但在实际应用中，以上2条规定并没有这么严格。引用别人文章的例子：比如，新闻站点的头版不断更新。虽然第二次请求会返回不同的一批新闻，该操 作仍然被认为是安全的和幂等的，因为它总是返回当前的新闻。从根本上说，如果目标是当用户打开一个链接时，他可以确信从自身的角度来看没有改变资源即可。

　　2.根据HTTP规范，POST表示可能修改变服务器上的资源的请求。继续引用上面的例子：还是新闻以网站为例，读者对新闻发表自己的评论应该通过POST实现，因为在评论提交后站点的资源已经不同了，或者说资源被修改了。

　　上面大概说了一下HTTP规范中GET和POST的一些原理性的问题。但在实际的做的时候，很多人却没有按照HTTP规范去做，导致这个问题的原因有很多，比如说：

　　1.很多人贪方便，更新资源时用了GET，因为用POST必须要到FORM（表单），这样会麻烦一点。

　　2.对资源的增，删，改，查操作，其实都可以通过GET/POST完成，不需要用到PUT和DELETE。

　　3.另外一个是，早期的Web MVC框架设计者们并没有有意识地将URL当作抽象的资源来看待和设计，所以导致一个比较严重的问题是传统的Web MVC框架基本上都只支持GET和POST两种HTTP方法，而不支持PUT和DELETE方法。

 　　* 简单解释一下MVC：MVC本来是存在于Desktop程序中的，M是指数据模型，V是指用户界面，C则是控制器。使用MVC的目的是将M和V的实现代码分离，从而使同一个程序可以使用不同的表现形式。

　　以上3点典型地描述了老一套的风格（没有严格遵守HTTP规范），随着架构的发展，现在出现REST(Representational State Transfer)，一套支持HTTP规范的新风格，这里不多说了，可以参考《RESTful Web Services》。

　　说完原理性的问题，我们再从表面现像上面看看GET和POST的区别：

　　1.GET请求的数据会附在URL之后（就是 把数据放置在HTTP协议头中），以?分割URL和传输数据，参数之间以&相连，如：login.action?name=hyddd& password=idontknow&verify=%E4%BD%A0%E5%A5%BD。如果数据是英文字母/数字，原样发送，如果是空 格，转换为+，如果是中文/其他字符，则直接把字符串用BASE64加密，得出如：%E4%BD%A0%E5%A5%BD，其中％XX中的XX为该符号以 16进制表示的ASCII。

　　POST把提交的数据则放置在是HTTP包的包体中。

　　2."GET方式提交的数据最多只能是1024字节，理论上POST没有限制，可传较大量的数据，IIS4中最大为80KB，IIS5中为100KB"？？！

　　以上这句是我从其他文章转过来的，其实这样说是错误的，不准确的：

　　(1).首先是"GET方式提交的数据最多只能是1024字节"，因为GET是通过URL提交数据，那么GET可提交的数据量就跟URL的长度有直接关系了。而实际上，URL不存在参数上限的问题，HTTP协议规范没有对URL长度进行限制。这个限制是特定的浏览器及服务器对它的限制。IE对URL长度的限制是2083字节(2K+35)。对于其他浏览器，如Netscape、FireFox等，理论上没有长度限制，其限制取决于操作系统的支持。

　　注意这是限制是整个URL长度，而不仅仅是你的参数值数据长度。[见参考资料5]

　　(2).理论上讲，POST是没有大小限制的，HTTP协议规范也没有进行大小限制，说“POST数据量存在80K/100K的大小限制”是不准确的，POST数据是没有限制的，起限制作用的是服务器的处理程序的处理能力。

　　对于ASP程序，Request对象处理每个表单域时存在100K的数据长度限制。但如果使用Request.BinaryRead则没有这个限制。

　　由这个延伸出去，对于IIS 6.0，微软出于安全考虑，加大了限制。我们还需要注意：

　　　　 1).IIS 6.0默认ASP POST数据量最大为200KB，每个表单域限制是100KB。
　　　　 2).IIS 6.0默认上传文件的最大大小是4MB。
　　　　 3).IIS 6.0默认最大请求头是16KB。
　　IIS 6.0之前没有这些限制。[见参考资料5]

　　所以上面的80K，100K可能只是默认值而已(注：关于IIS4和IIS5的参数，我还没有确认)，但肯定是可以自己设置的。由于每个版本的IIS对这些参数的默认值都不一样，具体请参考相关的IIS配置文档。

　　3.在ASP中，服务端获取GET请求参数用 Request.QueryString，获取POST请求参数用Request.Form。在JSP中，用 request.getParameter(\"XXXX\")来获取，虽然jsp中也有request.getQueryString()方法，但使用 起来比较麻烦，比如：传一个test.jsp?name=hyddd&password=hyddd，用 request.getQueryString()得到的是：name=hyddd&password=hyddd。在PHP中，可以 用$_GET和$_POST分别获取GET和POST中的数据，而$_REQUEST则可以获取GET和POST两种请求中的数据。值得注意的是，JSP 中使用request和PHP中使用$_REQUEST都会有隐患，这个下次再写个文章总结。

　　4.POST的安全性要比GET的安全性 高。注意：这里所说的安全性和上面GET提到的“安全”不是同个概念。上面“安全”的含义仅仅是不作数据修改，而这里安全的含义是真正的Security 的含义，比如：通过GET提交数据，用户名和密码将明文出现在URL上，因为(1)登录页面有可能被浏览器缓存，(2)其他人查看浏览器的历史纪录，那么 别人就可以拿到你的账号和密码了，除此之外，使用GET提交数据还可能会造成Cross-site request forgery攻击。

　　总结一下，Get是向服务器发索取数据的一种请求，而Post是向服务器提交数据的一种请求，在FORM（表单）中，Method默认为"GET"，实质上，GET和POST只是发送机制不同，并不是一个取一个发！

　　纯属hyddd个人总结，如有错漏请指出。:>

HTTP协议是什么？

简单来说，就是一个基于应用层的通信规范：双方要进行通信，大家都要遵守一个规范，这个规范就是HTTP协议。

HTTP协议能做什么？

很多人首先一定会想到：浏览网页。没错，浏览网页是HTTP的主要应用，但是这并不代表HTTP就只能应用于网页的浏览。HTTP是一种协议，只要通信的双方都遵守这个协议，HTTP就能有用武之地。比如咱们常用的QQ，迅雷这些软件，都会使用HTTP协议(还包括其他的协议)。

HTTP协议如何工作？

大家都知道一般的通信流程：首先客户端发送一个请求(request)给服务器，服务器在接收到这个请求后将生成一个响应(response)返回给客户端。

在这个通信的过程中HTTP协议在以下4个方面做了规定：

1.         Request和Response的格式

Request格式：

HTTP请求行
（请求）头
空行
可选的消息体

注：请求行和标题必须以<CR><LF> 作为结尾（也就是，回车然后换行）。空行内必须只有<CR><LF>而无其他空格。在HTTP/1.1 协议中，所有的请求头，除Host外，都是可选的。

实例：

GET / HTTP/1.1

Host: gpcuster.cnblogs.com

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-us,en;q=0.5

Accept-Encoding: gzip,deflate

Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7

Keep-Alive: 300

Connection: keep-alive

If-Modified-Since: Mon, 25 May 2009 03:19:18 GMT

Response格式：

HTTP状态行
（应答）头
空行
可选的消息体

实例：

HTTP/1.1 200 OK

Cache-Control: private, max-age=30

Content-Type: text/html; charset=utf-8

Content-Encoding: gzip

Expires: Mon, 25 May 2009 03:20:33 GMT

Last-Modified: Mon, 25 May 2009 03:20:03 GMT

Vary: Accept-Encoding

Server: Microsoft-IIS/7.0

X-AspNet-Version: 2.0.50727

X-Powered-By: ASP.NET

Date: Mon, 25 May 2009 03:20:02 GMT

Content-Length: 12173

­消息体的内容（略）

       详细的信息请参考：RFC 2616。

       关于HTTP headers的简要介绍，请查看：Quick reference to HTTP headers

2.         建立连接的方式

HTTP支持2中建立连接的方式：非持久连接和持久连接(HTTP1.1默认的连接方式为持久连接)。

1)         非持久连接

让我们查看一下非持久连接情况下从服务器到客户传 送一个Web页面的步骤。假设该贝面由1个基本HTML文件和10个JPEG图像构成，而且所有这些对象都存放在同一台服务器主机中。再假设该基本 HTML文件的URL为：gpcuster.cnblogs.com/index.html。

下面是具体步骡:

1.HTTP客户初始化一个与服务器主机gpcuster.cnblogs.com中的HTTP服务器的TCP连接。HTTP服务器使用默认端口号80监听来自HTTP客户的连接建立请求。

2.HTTP客户经由与TCP连接相关联的本地套接字发出—个HTTP请求消息。这个消息中包含路径名/somepath/index.html。

3.HTTP服务器经由与TCP连接相关联的本地套接字接收这个请求消息，再从服务器主机的内存或硬盘中取出对象/somepath/index.html，经由同一个套接字发出包含该对象的响应消息。

4.HTTP服务器告知TCP关闭这个TCP连接(不过TCP要到客户收到刚才这个响应消息之后才会真正终止这个连接)。

5.HTTP客户经由同一个套接字接收这个响应消息。TCP连接随后终止。该消息标明所封装的对象是一个HTML文件。客户从中取出这个文件，加以分析后发现其中有10个JPEG对象的引用。

6.给每一个引用到的JPEG对象重复步骡1-4。

上述步骤之所以称为使用非持久连接，原因是每次服 务器发出一个对象后，相应的TCP连接就被关闭，也就是说每个连接都没有持续到可用于传送其他对象。每个TCP连接只用于传输一个请求消息和一个响应消 息。就上述例子而言，用户每请求一次那个web页面，就产生11个TCP连接。

2)         持久连接

非持久连接有些缺点。首先，客户得为每个待请求的对象建立并维护一个新的连接。对于每个这样的连接，TCP得在客户端和服务器端分配TCP缓冲区，并维持TCP变量。对于有可能同时为来自数百个不同客户的请求提供服务的web服务器来说，这会严重增加其负担。其次，如前所述，每个对象都有2个RTT的响应延长——一个RTT用于建立TCP连接，另—个RTT用于请求和接收对象。最后，每个对象都遭受TCP缓启动，因为每个TCP连接都起始于缓启动阶段。不过并行TCP连接的使用能够部分减轻RTT延迟和缓启动延迟的影响。

在持久连接情况下，服务器在发出响应后让TCP连接继续打开着。同一对客户/服务器之间的后续请求和响应可以通过这个连接发送。整个Web页面(上例中为包含一个基本HTMLL文件和10个图像的页面)自不用说可以通过单个持久TCP连接发送:甚至存放在同一个服务器中的多个web页面也可以通过单个持久TCP连接发送。通常，HTTP服务器在某个连接闲置一段特定时间后关闭它，而这段时间通常是可以配置的。持久连接分为不带流水线(without pipelining)和带流水线(with pipelining)两个版本。如果是不带流水线的版本，那么客户只在收到前一个请求的响应后才发出新的请求。这种情况下，web页面所引用的每个对象(上例中的10个图像)都经历1个RTT的延迟，用于请求和接收该对象。与非持久连接2个RTT的延迟相比，不带流水线的持久连接已有所改善，不过带流水线的持久连接还能进一步降低响应延迟。不带流水线版本的另一个缺点是，服务器送出一个对象后开始等待下一个请求，而这个新请求却不能马上到达。这段时间服务器资源便闲置了。

HTTP/1.1的默认模式使用带流水线的持久连接。这种情况下，HTTP客户每碰到一个引用就立即发出一个请求，因而HTTP客户可以一个接一个紧挨着发出各个引用对象的请求。服务器收到这些请求后，也可以一个接一个紧挨着发出各个对象。如果所有的请求和响应都是紧挨着发送的，那么所有引用到的对象一共只经历1个RTT的延迟(而不是像不带流水线的版本那样，每个引用到的对象都各有1个RTT的延迟)。另外，带流水线的持久连接中服务器空等请求的时间比较少。与非持久连接相比，持久连接(不论是否带流水线)除降低了1个RTT的响应延迟外，缓启动延迟也比较小。其原因在于既然各个对象使用同一个TCP连接，服务器发出第一个对象后就不必再以一开始的缓慢速率发送后续对象。相反，服务器可以按照第一个对象发送完毕时的速率开始发送下一个对象。

3.         缓存的机制

HTTP/1.1中缓存的目的是为了在很多情况下减少发送请求，同时在许多情况下可以不需要发送完整响应。前者减少了网络回路的数量；HTTP利用一个“过期（expiration）”机制来为此目的。后者减少了网络应用的带宽；HTTP用“验证（validation）”机制来为此目的。

HTTP定义了3种缓存机制：

l Freshness allows a response to be used without re-checking it on the origin server, and can be controlled by both the server and the client. For example, the Expires response header gives a date when the document becomes stale, and the Cache-Control: max-age directive tells the cache how many seconds the response is fresh for.

l Validation can be used to check whether a cached response is still good after it becomes stale. For example, if the response has a Last-Modified header, a cache can make a conditional request using the If-Modified-Since header to see if it has changed.

l Invalidation is usually a side effect of another request that passes through the cache. For example, if URL associated with a cached response subsequently gets a POST, PUT or DELETE request, the cached response will be invalidated.

关于web缓存方面的内容可以参考：Caching Tutorial for Web Authors and Webmasters（英文版）（中文版）

4.         响应授权激发机制

这些机制能被用于服务器激发客户端请求并且使客户端授权。

详细的信息请参考：RFC 2617: HTTP Authentication: Basic and Digest Access

5.        基于HTTP的应用

1 HTTP代理

原理

分类

1. 透明代理
2. 非透明代理
3. 反向代理

2 多线程下载

1.  
   1. 下载工具开启多个发出HTTP请求的线程
   2. 每个http请求只请求资源文件的一部分：Content-Range: bytes 20000-40000/47000
   3. 合并每个线程下载的文件

3 HTTPS传输协议原理

两种基本的加解密算法类型

对称加密：密钥只有一个，加密解密为同一个密码，且加解密速度快，典型的对称加密算法有DES、AES等

非对称加密：密钥成对出现（且根据公钥无法推知私钥，根据私钥也无法推知公钥），加密解密使用不同密钥（公钥加密需要私钥解密，私钥加密需要公钥解密），相对对称加密速度较慢，典型的非对称加密算法有RSA、DSA等

HTTPS通信过程

优点

1.  
   1. 客户端产生的密钥只有客户端和服务器端能得到
   2. 加密的数据只有客户端和服务器端才能得到明文
   3. 客户端到服务端的通信是安全的

4 开发web程序时常用的Request Methods

HEAD

（Head方法）要求响应与相应的GET请求的响应一样，但是没有的响应体（response body）。这用来获得响应头（response header）中的元数据信息（meta-infomation）有（很）帮助，（因为）它不需要传输所有的内容。

TRACE

（Trace方法告诉服务器端）返回收到的请求。客户端可以（通过此方法）察看在请求过程中中间服务器添加或者改变哪些内容。

OPTIONS

返回服务器（在指定URL上）支持的HTTP方法。通过请求“*”而不是指定的资源，这个方法可以用来检查网络服务器的功能。

CONNECT

将请求的连接转换成透明的TCP/IP通道，通常用来简化通过非加密的HTTP代理的SSL-加密通讯（HTTPS）。

5 用户与服务器的交互

1.  
   1. 身份认证
   2. cookie
   3. 带条件的GET

6 基于Socket编程编写遵循HTTP的程序

C 类地址例子1:网络地址192.168.10.0;子网掩码255.255.255.192(/26)
1.子网数=2*2-2=2
2.主机数=2 的6 次方-2=62
3. 有效子网?:block size=256-192=64; 所以第一个子网为192.168.10.64, 第二个为192.168.10.128
4.广播地址:下个子网-1.所以2 个子网的广播地址分别是192.168.10.127 和192.168.10.191
5.有效主机范围是:第一个子网的主机地址是192.168.10.65 到192.168.10.126;第二个是192.168.10.129 到192.168.10.190

C 类地址例子2:网络地址192.168.10.0;子网掩码255.255.255.128(/26)
我知道我举的这个例子只有一个子网位，这通常是不合法的（由RFC文档所规定）。但是！世事无绝对，不是吗？这个子网掩码能在你需要两个子网每个子网126台主机时给你帮助，不过这是在特殊情况下实现的。在思科路由器的全局配置模式下输入ip subnet -zero命令来告诉你的路由器打破规则并使用一个1位的子网掩码（这个命令通常在运行CISCO IOS 12.x的所有路由器上默认存在）
1.子网数=2
2.主机数=2 的7 次方-2=126
3. 有效子网?:block size=256-128=128; 所以第一个子网为192.168.10.0, 第二个为192.168.10.128
4.广播地址:下个子网-1.所以2 个子网的广播地址分别是192.168.10.127 和192.168.10.255
5.有效主机范围是:第一个子网的主机地址是192.168.10.1 到192.168.10.126;第二个是192.168.10.129 到192.168.10.254

B 类地址例子1：网络地址:172.16.0.0;子网掩码255.255.255.128(/25)
注意！这个不是C类地址的子网掩码，然而这个子网划分是有一定难度的，但是！这个掩码却是十分有用的因为它创建了510个子网每个子网有126个主机，一个很好的组合。
1.子网数=2的9次方-2=510
2.主机数=2的7次方-2=126
3.有效子网?:block size=256-255=1，2，3，......这是第三个八位元组的数值，但是你不能忘记还有一位子网位在第四个八位元组。所以第四个八位元组分为两个子网。例如第三个八位元组表示子网3，那第四个八位元组的两个子网为172.16.3.0和172.16.3.128
4.广播地址:下个子网-1.所以第一个子网和最后1 个子网的广播地址分别是
172.16.0.255和
172.16.255.127
5.有效主机范围是:第一个子网的主机地址是172.16.0.129 到172.16.0.254;最后1 个是172.16.255.0 到172.16.255.126
（补充一下：可能有人问第一个子网为什么不是172.16.0.0---172.16.0.128呢？不要忘记！子网位和主机位不能为全0或者全1，172.16.0.0代表了整个172.16.x.x网络，同理，最后一个子网也就不可能是172.16.255.128---172.16.255.255了。）

B 类地址例子2:网络地址:172.16.0.0;子网掩码255.255.192.0(/18)
1.子网数=2*2-2=2
2.主机数=2 的14 次方-2=16382
3.有效子网?:block size=256-192=64;所以第一个子网为172.16.64.0,最后1 个为172.16.128.0
4.广播地址:下个子网-1.所以2 个子网的广播地址分别是172.16.127.255 和172.16.191.255
5.有效主机范围是:第一个子网的主机地址是172.16.64.1 到172.16.127.254;第二个是172.16.128.1 到172.16.191.254

B 类地址例子3:网络地址:172.16.0.0;子网掩码255.255.255.224(/27)
1.子网数=2 的11 次方-2=2046(因为B 类地址默认掩码是255.255.0.0,所以网络位为8+3=11)
2.主机数=2 的5 次方-2=30
3. 有效子网?:block size=256-224=32; 所以第一个子网为172.16.0.32, 最后1 个为172.16.255.192
4.广播地址:下个子网-1.所以第一个子网和最后1 个子网的广播地址分别是172.16.0.63 和
172.16.255.223
5.有效主机范围是:第一个子网的主机地址是172.16.0.33 到172.16.0.62;最后1 个是172.16.255.193 到172.16.255.223

A类地址子网划分跟B类和C类并没有什么区别，只是掩码位由16位和8位变成了24位而已。

简单地举个例子吧：
网络地址:10.0.0.0;子网掩码255.255.0.0(/16)
1.子网数=2 的8次方-2=254
2.主机数=2 的16次方-2=65534
3. 有效子网?:block size=256-255=1，2，3，......; 所以第一个子网为10.1.0.0, 最后1 个为10.254.0.0
4.广播地址:下个子网-1.所以第一个子网和最后1 个子网的广播地址分别是10.1.255.255 和
10.254.255.255
5.有效主机范围是:第一个子网的主机地址是10.1.0.1 到10.1.255.254;最后1 个是10.254.0.1 到10.254.255.254

怎么样创建一个子网:

如何划分子网?首先要熟记2 的幂:2 的0 次方到9 次方的值分别为:1,2,4,8,16,32,64,128,256和512。还有要明白的是:子网划分是借助于取走主机位,把这个取走的部分作为子网位。因此这个意味划分越多的子网,主机将越少。

子网掩码（Subnet Masks）:

子网掩码用于辨别IP 地址中哪部分为网络地址,哪部分为主机地址,有1 和0 组成,长32 位,全为1 的位代表网络号.不是所有的网络都需要子网,因此就引入1 个概念:默认子网掩码(default subnet mask).A 类IP 地址的默认子网掩码为255.0.0.0;B 类的为255.255.0.0;C 类的为255.255.255.0。

Classless Inter-Domain Routing(CIDR)：

CIDR 叫做无类域间路由,ISP 常用这样的方法给客户分配地址,ISP 提供给客户1 个块(block size),类似这样:192.168.10.32/28,这排数字告诉你你的子网掩码是多少,/28 代表多少位为1,最大/32.但是你必须知道的一点是:不管是A类还是B类还是其他类地址,最大可用的只能为/30,即保留2 位给主机位。

CIDR 值:
1.掩码255.0.0.0:/8(A 类地址默认掩码)
2.掩码255.255.0.0:/16(B 类地址默认掩码)
3.掩码255.255.255.0:/24(C 类地址默认掩码)

划分A类B类C类地址子网：

划分子网的几个捷径:
1.你所选择的子网掩码将会产生多少个子网?:2 的x 次方-2(x 代表子网位,即2 进制为1 的部分) PS：这里的x是指除去默认掩码后的子网位，例如网络地址192.168.1.1，掩码255.255.255.192，因为是C类地址，掩码为255.255.255.0。那么255.255.255.192（x.x.x.11000000）使用了两个1来作为子网位。

2.每个子网能有多少主机?: 2 的y 次方-2(y 代表主机位,即2 进制为0 的部分)

3.有效子网是?:有效子网号=256-10 进制的子网掩码(结果叫做block size 或base number)

4.每个子网的广播地址是?:广播地址=下个子网号-1

5.每个子网的有效主机分别是?:忽略子网内全为0 和全为1 的地址剩下的就是有效主机地址.
最后有效1 个主机地址=下个子网号-2(即广播地址-1)