HTTP

Question 1

Что такое HTTP?

Answer 1

HTTP – протокол прикладного уровня. Он предназначен для общения между двумя программами (клиентом и сервером), находящимися на разных компьютерах. Но, сам по себе, HTTP не может соединять два удаленных компьютера. Для этого используются другие протоколы, среди которых TCP. Именно TCP позволяет соединить программы на удаленных компьютерах, создав канал для общения друг с другом. Для этого нужно знать два параметра: ip-адрес компьютера, к которому нужно подключиться, и порт, на котором “висит” нужная программа

Question 2

Дефолтные порты HTTP/HTTPS

Answer 2

HTTP: 80
HTTPS: 443

Question 3

Что из себя представляет сам запрос?

Answer 3

HEAD / HTTP/1.0
User-Agent: google chrome
Запрос состоит из нескольких частей. Первая часть — стартовая строка (request line). Вторая — заголовки.

Question 4

Что из себя представляет стартовая строка?

Answer 4

В стартовой строке мы указываем специальное слово, еще говорят “глагол”. В данном случае мы будем использовать глагол HEAD. Он очень простой, и просит сервер отдать только заголовки, без содержимого. Более распространенным является GET. Именно с помощью GET мы запрашиваем содержимое сайта.

После глагола указывается путь к ресурсу request URI. Если мы указываем /, это обозначает просто корень сайта.

Question 5

Что из себя представляет заголовок?

Answer 5

Заголовки позволяют передавать дополнительную информацию, например браузеры предоставляют информацию о себе, чтобы было понятно откуда идет запрос. Кроме этого они указывают какие форматы сжатия поддерживают, в каком формате готовы принимать ответ и так далее. Количество стандартных заголовков достаточно большое, помимо них можно добавлять любые свои.

Давайте рассмотрим, как выглядят заголовки. Мы указываем имя и через двоеточие какое-то значение: REFERER: value. Заголовки часто указывают заглавными буквами, но регистр здесь не важен. Порядок заголовков также не специфицирован. В каком бы порядке мы ни передали заголовки, тело ответа будет разбираться только все вместе.

Браузерами используется много заголовков, например, user-agent. Этот заголовок используется для аналитики, а также, когда необходимо адаптировать страницы сайта под разные экраны или браузеры.

Question 6

Правила протокола

Answer 6

Важно помнить, поскольку это протокол, и у него есть определенные правила, то нарушать их нельзя. HTTP — текстовый протокол. Все правила основаны на простых соглашениях. Например, несколько заголовков отделяются друг от друга переводом строки (и никак иначе!). Мы не можем записать их в одну строку, через запятую или как-то еще. Все очень строго.

Question 7

каким образом сервер поймет, что вы закончили передавать данные?

Answer 7

Это должен быть какой-то маркер, определитель. В HTTP это делается с помощью двух переводов строки. После этого сервер считает что все данные были отправлены и больше данных не будет. То есть фактически два перевода строки (перевод после последнего заголовка и пустая строка) приводят к отправке данных

Question 8

Что из себя представляет ответ?

Answer 8

HTTP/1.0 200 OK
Date: Sat, 18 Jan 2020 09:24:50 GMT
Expires: -1

status line: Версия протокола, код ответа, сообщение.
Заголовки

Question 9

Закрытие соединения хостом.

Answer 9

В конце мы видим одну интересную деталь: Connection closed by foreign host. Запрос соединения был закрыт внешним хостом. Так работает практически все в интернете. Обычно серверы настроены на 30-секундный интервал и закрывают соединение, если в течение этого интервала ничего не приходит.

Question 10

Что (обычно) означает сообщение “Connection closed by foreign host”, отправленное веб-сервером?

Answer 10

превышен интервал ожидания, соединение закрыто

Question 11

HTTP-запрос невозможен без

Answer 11

стартовой строки

Question 12

Как при HTTP-запросе обозначается конец запроса?

Answer 12

два перевода строки

Question 13

Как выполнить запрос?

Answer 13

telnet localhost 8080
GET /about HTTP/1.0

Question 14

Протокол HTTP 1.1 расширяет возможности предыдущей версии и добавляет виртуальные хосты

Answer 14

Предыдущая версия требует наличия только request line. В ней мы описываем, какой путь на сайте мы хотим посмотреть. Но упоминания сайта как такового здесь нет. При этом мы подключаемся по telnet к конкретному IP адресу. Отсюда можно сделать вывод, что понятие домена (доменного имени) при использовании HTTP 1.0 неважно. Действительно, эта версия была создана в те времена, когда считалось, что один IP адрес соответствует одному сайту. Естественно, это не могло продолжаться долго, потому что рост интернета был стремительным. И HTTP 1.1 ввел такое понятие как виртуальные хосты. С точки зрения реализации в протоколе HTTP появилась одна небольшая деталь. Кроме request line стал обязательным еще и заголовок, который называется host. Он определяет, какой именно домен должен быть возвращен с этого IP адреса.

HEAD / HTTP/1.1
host: hexlet.io

Question 15

HTTP 1.1 вводит еще одно понятие по умолчанию, которое называется keep-alive

Answer 15

keep-alive означает, что соединение TCP, по которому ходит HTTP, не закрывается. Причем по умолчанию так должны себя вести все веб-сервера. Основная цель введения этой фичи в том, чтобы сократить использование ресурсов, уменьшить нагрузку на процессор, открывать меньше TCP-соединений (установка каждого TCP-соединения занимает время), уменьшить время ожидания (latency). Когда мы открываем сайт, то обычно с одного домена грузится несколько ресурсов. keep-alive позволяет открывать и использовать одно соединение, которое не будет закрыто до тех пор, пока это не будет указано явно, либо не произойдет таймаут. Таймаут зависит от того, какой браузер и какой веб-сервер используется.

Question 16

Закрытие соединения HTTP1.1

Answer 16

Мы также можем указать, что хотим закрыть соединение. Для этого после установки соединения и передачи стандартных заголовков нужно передать еще один заголовок. Он называется connection: close. Тогда keep-alive будет отключен, и после получения ответа мы увидим сообщение, что хост закрыл соединение: Connection closed by foreign host.

Question 17

Чем по сути является HTTP?

Answer 17

Искусственным общим языком для передачи данных

Question 18

Что из перечисленного является особенностью HTTP версии 1.1?

Answer 18

Возможность повторно использовать TCP-соединение вместо создания нового соединения при каждом запросе

Question 19

Код 301 это

Answer 19

Код ответа

Question 20

Тело HTTP-запроса

Answer 20

Строка запроса
Заголовки
Пустая строка
Тело запроса

Question 21

Как передается тело ответа

Answer 21

Во время отправки ответа сервер формирует специальный заголовок, который называется Content-Length. Перед тем как отправить тело ответа, происходит вычисление его длины и записывается количество байт.
После того, как передан такой заголовок, другая сторона будет ожидать ровно столько байт, сколько в нем указано.

Question 22

Дополнительный заголовок кроме Content-Length

Answer 22

не все серверы правильно работают при наличии только заголовка Content-Length. Им не хватает еще одного. Тип содержимого запроса или ответа, которое содержит body, должен быть как-то идентифицирован.
Когда сервер не может определить тип контента, он должен использовать заголовок Content-Type: application/octet-stream. Это означает, что в теле запроса передается просто поток байт.

Question 23

Можно ли посылать body в любых формах запросов?

Answer 23

С точки зрения стандарта HTTP тело может присутствовать в любом запросе и никак не связано с глаголом. Посылать body можно в HEAD, POST, PUT и других запросах. Если мы посылаем body с GET, сервер никак не будет на это реагировать, более того, он и не должен, так как с практической точки зрения это не имеет смысла.

Question 24

Что должен содержать ответ при выполнении запроса с использованием глагола HEAD?

Answer 24

заголовки

Question 25

Какое значение содержится в поле “Content-Length” в ответе (response)?

Answer 25

количество байт, занимаемое телом ответа

Question 26

Content-Length может присутствовать

Answer 26

и в запросе, и в ответе

Question 27

Пример пост запроса с бади

Answer 27

POST /upload HTTP/1.1
Host: hexlet.local
Content-Type: text/plain
Content-length: 15

my request body

Question 28

Что такое форма?

Answer 28

Формы — это элементы HTML, которые применяются для сбора информации от посетителей веб-сайта

Question 29

Content-Type для форм по умолчанию

Answer 29

Content-Type: application/x-www-form-urlencoded

Question 30

Пример отправленной формы

Answer 30

Это простой формат — ключ равно значение и амперсанд между ними.

login=smith&password=12345678

Question 31

Пример запроса с данными формы

Answer 31

telnet localhost 8080

POST /login HTTP/1.1
Host: hexlettesthost.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 29

login=smith&password=12345678 # отправляем данные

Question 32

Как определяется длина Content-Length?

Answer 32

Количество символов

Question 33

Особенности парсинга символов тела запроса

Answer 33

= выглядит так — %3D

Question 34

JSON Content-Type

Answer 34

Content-Type: application/json

Question 35

В какой части HTTP-запроса находятся данные формы при ее отправке глаголом POST?

Answer 35

в теле

Question 36

Как разделяются названия полей формы в HTTP-запросе, если она отправлена GET-глаголом:

Answer 36

&

Question 37

Может ли ответ на HTTP-запрос (то есть HTTP response) содержать тело с какой-то информацией?

Answer 37

да, конечно!

Question 38

Пример POST запроса для логина

Answer 38

POST /session/new HTTP/1.1
Host: hexlet.local
Content-Type: application/x-www-form-urlencoded
Content-Length: 30

username=admin&password=secret

Question 39

Передача данных без конечного размера

Answer 39

Существует еще одно решение, которое позволяет надежно передавать данные, когда мы не знаем их конечный размер. По ссылке находится пример изображения, которое отрисовывается постепенно по мере того, как происходит передача данных. Для этого используется механизм передачи небольшими частями, чанками (англ. chunks), и специальный заголовок Transfer-Encoding со значением chunked

Question 40

Пример передачи чанка

Answer 40

Заголовки
Date: Fri, 10 Jul 2020 09:18:05 GMT

400 # длина чанка
Какие-то данные первого чанка
400
Данные второго чанка
400
и так далее
0 # последний чанк нулевой длины

Question 41

С чего начинается каждый chunk?

Answer 41

число, указывающее на его размер

Question 42

Чем заканчивается каждый chunk?

Answer 42

перевод строки

Question 43

Каким образом обозначается последний chunk?

Answer 43

он нулевой длины, после него — двойной перевод строки

Question 44

В случае с передачей ответа с помощью chunks, каким образом тело ответа отделяется от заголовков?

Answer 44

как обычно — два перевода строки

Question 45

Передача данных query string

Answer 45

POST /login?key=value HTTP/1.1
мы также можем передать так называемую строку запроса query string. Это параметры ключ=значение, которые располагаются в request line после указания глагола POST или GET.

Question 46

query string без указания страницы

Answer 46

GET /?key=value HTTP/1.1

Question 47

Какой из типов запросов должен использоваться только для получения данных и не должен приводить к изменениям данных?

Answer 47

GET

Question 48

Какой из типов запросов лучше всего поддается кэшированию (если запросы используются правильно)?

Answer 48

GET

Question 49

Возможно ли в одном запросе передавать данные и в body, и в request line с помощью query string?

Answer 49

да

Question 50

Запрос публикует новый комментарий в блоге. Является ли такой запрос идемпотентным?

Answer 50

нет

Question 51

Пример редиректа в заголовках

Answer 51

telnet hexlet.io 80
GET / HTTP/1.1
host: hexlet.io

HTTP/1.1 301 Moved Permanently
Transfer-Encoding: chunked
Connection: keep-alive
Location: https://hexlet.io/

Question 52

Возможно в ответ 301 включить тело?

Answer 52

да

Question 53

При ответе “301” новый адрес указан в поле “Location”. Чем является это поле?

Answer 53

При ответе “301” новый адрес указан в поле “Location”. Чем является это поле?

Question 54

Возможно ли делать редирект на страницу, которая в свою очередь содержит новый редирект на другую страницу?

Answer 54

Да

Question 55

Ответ при попытке зайти на защищенную страницу

Answer 55

HTTP/1.1 401 Access Denied
WWW-Authenticate: Basic realm="My Server"
Content-Length: 0

Question 56

Пример запроса на защищенную страницу

Answer 56

GET /securefiles/ HTTP/1.1
Host: www.httpwatch.com
Authorization: Basic aHR0cHdhdGNoDmY=

Question 57

Что представляет собой заголовок Base?

Answer 57

Authorization, в котором есть обязательное слово Basic и после пробела закодированая фраза. Эта фраза состоит из имени пользователя и пароля — <username>:<password>, закодированных в base64.</password></username>

Question 58

Какой код используется для обозначения запрета доступа без аутентификации (“access denied”)?

Answer 58

401

Question 59

Какое из утверждений является истинным для базовой аутентификации?

Answer 59

форму для ввода логина и пароля генерирует сам браузер

Question 60

Возможно ли применить базовую аутентификацию только к одной странице на сайте?

Answer 60

да

Question 61

Как сгенерировать Base64 для логина-пароля

Answer 61

printf 'username:password' | base64

Question 62

«Как запомнить, что это тот пользователь, с которым мы только что работали?».

Answer 62

Решение этой проблемы было найдено когда был придуман механизм, который называется Cookie.

Question 63

Примеры заголовков cookie

Answer 63

set-cookie: _hexlet_session2=AiUPd6RFbcrnoGnZSLAYSBzdJqxsQ4sTc%2BW0xXuOKzle--qQi0cqcljC8i4klD--fXTErw9bhX7%2Fd1xfPE4Gww%3D%3D; domain=.hexlet.io; path=/; expires=Sun, 16 Aug 2020 03:38:11 GMT; secure; HttpOnly; SameSite=Lax

set-cookie: GCLB=CLTE8bzdlaS6Zg; path=/; HttpOnly; expires=Thu, 16-Jul-2020 03:39:50 GMT

Question 64

Куки делятся как минимум на два типа

Answer 64

сессионные и постоянные

Question 65

Основное отличие сессионных куки от постоянных

Answer 65

Основное их отличие от постоянных в том, что такая кука удаляется при закрытии браузера.

Question 66

Пример сессионных куки

Answer 66

Наглядный пример — это механизм работы галочки «запомнить меня». Если вы авторизуетесь и не отметите эту галочку, а потом закроете браузер и снова зайдете на сайт, то будете не авторизованы. Так происходит потому, что используется сессионная кука.

Question 67

Особенности постоянных куки

Answer 67

Постоянные куки сохраняются на жестком диске — место их хранения может быть разным в зависимости от браузера. Такие куки отличаются от сессионных тем, что можно управлять длиной их жизни при помощи параметра expires:

expires=Thu, 16-Jul-2020 03:39:50 GMT

Question 68

Дополнительный параметр, кроме expires

Answer 68

MAX-AGE. В его значении указывается количество секунд, по истечении которых кука будет удалена:

MAX-AGE=2592000;

Question 69

Особенности работы браузеров с параметрами max-age и expires

Answer 69

Так как часть браузеров не поддерживают MAX-AGE, некоторые фреймворки часто устанавливают сразу оба параметра и браузеры просто игнорируют тот, который им не нужен. Таким образом заголовок set-cookie, который содержит два параметра MAX-AGE и expires, считается валидным. В стандарте также говорится, что регистр имени куки не имеет значения.

Question 70

Область видимости куки

Answer 70

Это URL, на которые кука может отправляться. Если они не заданы, то по умолчанию кука будет пересылаться на сервер только для текущего пути и домена. В нашем примере в path указан корень сайта, то есть кука будет отправляться для всех страниц:

domain=.hexlet.io; path=/;

Question 71

Область видимости для поддоменов

Answer 71

Если установлен domain=.hexlet.io, то кука будет работать не только для всех страниц сайта, но и для всех поддоменов — при этом наличие точки перед именем домена не имеет значения. Если мы совсем не установим параметр domain, то кука для поддоменов работать не будет, хотя по умолчанию значение домена будет hexlet.io.

Question 72

Как определяется уникальность куки

Answer 72

Уникальность куки определяется тремя параметрами key (имя куки), domain и path. Это значит, что если какую-то куку нужно переустановить, то при следующем запросе в set-cookie эти параметры должны совпадать. Если хотя бы один из них отличается, то будет установлена новая кука.

Question 73

Удаление куки

Answer 73

Заголовка для удаления куки не существует. Чтобы удалить ее, нужно установить нулевой или отрицательный MAX-AGE, либо задать expires в прошлом, тогда кука будет немедленно удалена.

Question 74

HttpOnly cookie

Answer 74

в нашем примере установлен дополнительный параметр HttpOnly. HttpOnly-куки передаются с AJAX-запросами, но их нельзя получить через JavaScript на странице сайта. Это дополнительный уровень безопасности от XSS-атак.

Question 75

HTTP — stateless protocol. Что это значит?

Answer 75

каждая пара «HTTP-запрос + ответ» независимая, и протокол не «помнит» ничего о прошлых запросах

Question 76

Может ли заголовок “Set-cookie” встречаться несколько раз в одном ответе (response)?

Answer 76

да

Question 77

Где у пользователя хранятся cookie, отправленные сервером?

Answer 77

в браузере

Question 78

В куки есть такой фрагмент: domain = .yandex.ru. Для каких адресов будет использоваться этот куки?

Answer 78

для yandex.ru и всех поддоменов вида x.yandex.ru

Question 79

Пользователь зашел на сайт интернет-магазина (без авторизации, как гость), добавил несколько товаров в свою корзину, закрыл браузер, перезагрузил компьютер, открыл браузер, вернулся на сайт и увидел, что товары все еще находятся в его корзине. Какой тип cookie использовался (скорее всего) для достижения такого эффекта?

Answer 79

постоянные куки (persistent cookies)

Question 80

Пример запроса с куки

Answer 80

GET /account HTTP/1.1
Host: hexlet.local
Cookie: name=user; secret=secret_hash