/*--------------------------- 01 HTTP請求 ----------------------*/

重點:1.超文本傳輸協議. 2.http請求過程.

{

1> http協議: 超文本傳輸協議(Hypertext Transfer Protocol)

{

http協議規定了客戶端和服務器之間的數據傳輸格式.

http協議是在網絡開發中最常用的協議.不管是移動客戶端還是PC端,訪問網絡資源經常使用http協議.

http優點:

<1> 簡單快速:

http協議簡單,通信速度很快.

<2> 靈活:

http協議允許傳輸任意類型的數據.

<3> http協議是短連接(非持續性連接)

http協議限制每次連接只處理一個請求,服務器對客戶端的請求作出響應后,馬上斷開連接.這種方式可以節省傳輸時間.

}

2> http協議的使用;

完整的http通信分為兩步:

<1> 請求:客戶端向服務器索要數據.

{

http協議規定:一個完整的http請求包含'請求行','請求頭','請求體'三個部分;

'請求行':包含了請求方法,請求資源路徑,http協議版本.

"GET /resources/images/ HTTP/1.1"

'請求頭':包含了對客戶端的環境描述,客戶端請求的主機地址等信息.

Accept: text/html // 客戶端所能接收的數據類型

Accept-Language: zh-cn // 客戶端的語言環境

Accept-Encoding: gzip // 客戶端支持的數據壓縮格式

Host: m.baidu.com // 客戶端想訪問的服務器主機地址

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.10; rv:37.0) Gecko/20100101 Firefox/37.0 // 客戶端的類型,客戶端的軟件環境

'請求體':客戶端發給服務器的具體數據,比如文件/圖片等.

}

<2> 響應:服務器返回客戶端想要的數據.

{

http協議規定:一個完整的http響應包含'狀態行','響應頭','實體內容'三個部分;

'狀態行':包含了http協議版本,狀態嗎,狀態英文名稱.

"HTTP/1.1 200 OK"

'響應頭':包含了對服務器的描述,對返回數據的描述.

Content-Encoding: gzip // 服務器支持的數據壓縮格式

Content-Length:? 1528 // 返回數據的長度

Content-Type:? application/xhtml+xml;charset=utf-8 // 返回數據的類型

Date: Mon, 15 Jun 2015 09:06:46 GMT // 響應的時間

Server: apache? // 服務器類型

'實體內容':服務器返回給客戶端的具體數據(圖片/html/文件...).

}

3> 發送http請求:

{

在iOS開發中,發送http請求的方案有很多,常見的有如下幾種:

<1> 蘋果原生:

{

* NSURLConnection:用法簡單,古老經典的一種方案.

* NSURLSession:iOS7以后推出的技術,功能比NSURLConnection更加強大.

* CFNetWork:NSURL 的底層,純C語言,一般不用.

}

<2> 第三方框架:

{

* ASIHttpRequest:http終結者,功能很強大,可惜作者已停止更新.

* AFNetWorking:簡單易用,提供了基本夠用的常用功能,維護和使用者多.

* MKNetWorkKit:簡單易用,產自印度,維護和使用者少.

}

在開發中,一般使用第三方框架.

}

}

/*----------------------- 02 GET 和 POST ----------------------*/

重點:1.GET 和 POST的區別? 2.用POST方法發送登陸請求.

{

<1> http方法:

http協議定義了很多方法對應不同的資源操作,其中最常用的是GET 和 POST 方法.

{

{ GET、POST、OPTIONS、HEAD、PUT、DELETE、TRACE、CONNECT、PATCH }

增:PUT

刪:DELETE

改:POST

查:GET

}

<2> 參數

{

因為 GET 和 POST 可以實現上述所有操作,所以,在現實開發中,我們只要會用GET 和 POST 方法就可以了.

在與服務器交互時,有時候需要給服務器發送一些數據,比如登錄時需要發送用戶名和密碼.

參數:就是指傳遞給服務器的具體數據.

}

<3> GET 和 POST 的主要區別表現在參數的傳遞上.

"GET":

{

GET的本質是從服務器得到數據,效率更高.并且GET請求可以被緩存.

'注意': 網絡緩存數據,保存在SQLite的數據庫中(路徑:NSHomeDirectory()).

查看緩存數據命令行:

'cd 文件目錄'? (打開文件目錄)

'ls'? 查看當前文件下目錄

'sqlite3 Cache.db'? 打開數據庫

'.tables'? ? 查看數據庫中的表單

'select * from cfurl_cache_response;'? 查看服務器響應緩存

'select * from cfurl_cache_receiver_data;'? 查看服務器返回的數據緩存

在請求 URL 后面以 ? 的形式跟上發給服務器的參數,參數以 "參數名"="參數值"的形式拼接,多個參數之間用 & 分隔.

注意:GET的長度是有限制的,不同的瀏覽器有不同的長度限制,一般在2~8K之間.

}

"POST":

{

POST的本質是向服務器發送數據,也可以獲得服務器處理之后的結果,效率不如GET.POST請求不可以被緩存,每次刷新之后都需要重新提交表單.

發送給服務器的參數全部放在'請求體'中;

理論上,POST傳遞的數據量沒有限制.

注意:所有涉及到用戶隱私的數據(密碼/銀行卡號等...)都要用POST的方式傳遞.

}

<4>注意:URL中不能出現空格以及中文等特殊符號.

1>URL中,所有的字符都必須是 ASCII 碼;

2>URL中不能出現中文和特殊符號(如空格);

所以,如果 URL 中出現了中文,需要添加百分號轉譯.

urlString = [urlString stringByAddingPercentEscapesUsingEncoding:NSUTF8StringEncoding];

<5> POST 發送登陸請求:

注意:

1> 用可變請求: NSMutableURLRequest *request = [NSMutableURLRequest requestWithURL:url];

2> 指定請求方法: request.HTTPMethod = @"POST";

3> 設置請求體數據: request.HTTPBody = data;

// 實例化請求體字符串

NSString *body = [NSString stringWithFormat:@"username=%@&password=%@",self.userName.text,self.password.text];

// 將字符串轉換成二進制數據

NSData *data = [body dataUsingEncoding:NSUTF8StringEncoding];

4> 發送異步網絡請求.

[NSURLConnection sendAsynchronousRequest:request queue:[NSOperationQueue mainQueue] completionHandler:^(NSURLResponse *response, NSData *data, NSError *connectionError) {

// NSURLResponse *response: 服務器響應

// NSData *data: 服務器返回的數據

// NSError *connectionError: 連接錯誤處理

// 網絡請求的回調.

}]

}

/*----------------------- 03 保存用戶信息 -----------------------*/

重點:1.偏好設置保存用戶信息.

{

<1>如果用戶登陸成功,就保存用戶信息.下次直接從偏好設置中讀取用戶信息,以此做到用戶只需要輸入一次賬號和密碼,以后登陸就可以不用再次輸入.

1>.登陸成功,保存用戶信息(偏好設置)

2>.再次進入,直接顯示用戶之前保存的信息.避免用戶重復輸入.

// 偏好設置存儲用戶信息

-(void)savaUserInfo

{

// 實例化偏好設置對象(單例)

NSUserDefaults *User = [NSUserDefaults standardUserDefaults];

// 保存用戶名

[User setObject:self.userName.text forKey:kITUSERNAMEKEY];

// 保存用戶密碼

[User setObject:pass forKey:kITUSERPASSKEY];

// 同步保存用戶信息

[User synchronize];

}

// 加載偏好設置中的用戶信息

- (void)loadUserInfo

{

NSUserDefaults *User = [NSUserDefaults standardUserDefaults];

if ([User objectForKey:ITUSERNAMEKEY]) {

self.userName.text = [User objectForKey:ITUSERNAMEKEY];

}if ([User objectForKey:ITUSERPASSKEY]) {

self.password.text = [User objectForKey:ITUSERPASSKEY];

};

}

<2> 用戶登陸業務邏輯

{

// <1> 用戶登陸需要一個單獨的控制器,因為只需要登陸一次(Login.storyboard). 應用程序需要有一個入口:main.storyboard: app 主頁面

// <2> 判斷用戶是否登陸成功過(通過偏好設置中存儲的用戶信息判斷)

// 1> 如果偏好設置中存有用戶信息(說明之前登陸成功過),直接進入 app 主頁面 :main.storyboard

// 2> 如果偏好設置中不存在用戶信息(第一次登陸或者之前注銷了用戶信息),進入登陸界面 :Login.storyboard

// <3> 如果用戶登陸成功,跳轉到 app 主頁面:main.storyboard.并且在偏好設置中保存用戶信息.

// <4> 如果用戶點擊注銷按鈕,注銷用戶信息,返回到登陸頁面.

}

<3> 問題: 用戶密碼不能以明文的形式保存,需要對用戶密碼加密之后再保存!

密碼的安全原則:

1> 本地和服務器都不允許保存用戶的密碼明文.

2> 在網絡上,不允許傳輸用戶的密碼明文.

現代密碼學趣聞! 中途島海戰(AF)

<4> 數據加密算法:

1> 對稱加密算法:加密和解密使用同一密鑰.加密解密速度快,要保證密鑰安全.適合給大數據加密.

2> 非對稱加密算法:使用公鑰加密,私鑰解密.或者使用私鑰加密,公鑰解密.更加安全,但是加密解密速度慢,適合給小數據加密.

<5> 小技巧:

openssl :是一個強大的安全套接字層密碼庫,囊括主要的密碼算法,常用的密鑰和證書封裝管理功能以及 SSL 協議.提供豐富的應用程序測試功能.

終端命令:

echo hello |openssl md5

echo hello |openssl sha1

echo hello |openssl sha -sha256

echo hello |openssl sha -sha512

}

/*-------------------- 04 信息安全加密 ---------------------------*/

了解:常用加密方法: 1> base64? 2> MD5? 3> MD5加鹽? 4> HMAC? 5> 時間戳密碼(用戶密碼動態變化)

{

1> base64

{

base64 編碼是現代密碼學的基礎.

原本是 8個bit 一組表示數據,改為 6個bit一組表示數據,不足的部分補零,每 兩個0 用 一個 = 表示.

用base64 編碼之后,數據長度會變大,增加了大約 1/3 左右.

base64 基本能夠達到安全要求,但是,base64能夠逆運算,非常不安全!

base64 編碼有個非常顯著的特點,末尾有個 '=' 號.

利用終端命令進行base64運算:

// 將文件 meinv.jpg 進行 base64運算之后存儲為 meinv.txt

base64 meinv.jpg -o meinv.txt

// 講meinv.txt 解碼生成 meinv.png

base64 -D meinv.txt -o meinv.png

// 將字符串 "hello" 進行 base 64 編碼 結果:aGVsbG8=

echo "hello" | base64

// 將 base64編碼之后的結果 aGVsbG8= 反編碼為字符串

echo aGVsbG8= | base64 -D

}

2> MD5 -- (信息-摘要算法) 哈希算法之一.

{

把一個任意長度的字節串變換成一定長度的十六進制的大整數. 注意,字符串的轉換過程是不可逆的.

用于確保'信息傳輸'完整一致.

MD5特點:

*1.壓縮性:? 任意長度的數據,算出的 MD5 值長度都是固定的.

*2.容易計算: 從原數據計算出 MD5 值很容易.

*3.抗修改性: 對原數據進行任何改動,哪怕只修改一個字節,所得到的 MD5 值都有很大區別.

*4.弱抗碰撞: 已知原數據和其 MD5 值,想找到一個具有相同 MD5 值的數據(即偽造數據)是非常困難的.

*5.強抗碰撞: 想找到兩個不同數據,使他們具有相同的 MD5 值,是非常困難的.

MD5 應用:

*1. 一致性驗證: MD5 將整個文件當做一個大文本信息,通過不可逆的字符串變換算法,產生一個唯一的 MD5 信息摘要.就像每個人都有自己獨一無二的指紋,MD5 對任何文件產生一個獨一無二的"數字指紋".

利用 MD5 來進行文件校驗, 被大量應用在軟件下載站,論壇數據庫,系統文件安全等方面.

*2. 數字簽名;

*3. 安全訪問認證;

}

3> MD5加鹽

{

MD5 本身是不可逆運算,但是,目前網絡上有很多數據庫支持反查詢.

MD5加鹽 就是在密碼哈希過程中添加的額外的隨機值.

注意:加鹽要足夠長,足夠復雜.

}

4> HMAC

{

HMAC 利用哈希算法,以一個密鑰和一個消息為輸入,生成一個消息摘要作為輸出.

HMAC 主要使用在身份認證中;

認證流程:

*1. 客戶端向服務器發送一個請求.

*2. 服務器接收到請求后,生成一個'隨機數'并通過網絡傳輸給客戶端.

*3. 客戶端將接收到的'隨機數'和'密鑰'進行 HMAC-MD5 運算,將得到的結構作為認證數據傳遞給服務器.

(實際是將隨機數提供給 ePass,密鑰也是存儲在 ePass中的)

*4. 與此同時,服務器也使用該'隨機數'與存儲在服務器數據庫中的該客戶'密鑰'進行 HMAC-MD5 運算,如果

服務器的運算結果與客戶端傳回的認證數據相同,則認為客戶端是一個合法用法.

}

5> 時間戳密碼(用戶密碼動態變化)

{

相同的密碼明文 + 相同的加密算法 ===》 每次計算都得出不同的結果.可以充分保證密碼的安全性.

原理:將當前時間加入到密碼中;

因為每次登陸時間都不同,所以每次計算出的結果也都不相同.

服務器也需要采用相同的算法.這就需要服務器和客戶端時間一致.

注意:服務器端時間和客戶端時間,可以有一分鐘的誤差(比如:第59S發送的網絡請求,一秒鐘后服務器收到并作出響應,這時服務器當前時間比客戶端發送時間晚一分鐘).

這就意味著,服務器需要計算兩次（當前時間和一分鐘之前兩個時間點各計算一次）.只要有一個結果是正確的,就可以驗證成功!

}

// IP輔助/手機綁定...

}

/*------------------------- 05 鑰匙串訪問 --------------------------*/

重點: 1.鑰匙串訪問

{

蘋果在 iOS 7.0.3 版本以后公布鑰匙串訪問的SDK. 鑰匙串訪問接口是純C語言的.

鑰匙串使用 AES 256加密算法,能夠保證用戶密碼的安全.

鑰匙串訪問的第三方框架(SSKeychain),是對 C語言框架 的封裝.注意:不需要看源碼.

鑰匙串訪問的密碼保存在哪里?只有蘋果才知道.這樣進一步保障了用戶的密碼安全.

使用步驟:

{

// 獲取應用程序唯一標識.

NSString *bundleId = [NSBundle mainBundle].bundleIdentifier;

// 1.利用第三方框架,將用戶密碼保存在鑰匙串

[SSKeychain setPassword:self.pwdText.text forService:bundleId account:self.usernameText.text];

"注意"三個參數:

1.密碼:可以直接使用明文.鑰匙串訪問本身是使用 AES 256加密,就是安全的.所以使用的時候,直接傳遞密碼明文就可以了.

2.服務名:可以隨便亂寫,建議唯一! 建議使用 bundleId.

bundleId是應用程序的唯一標識,每一個上架的應用程序都有一個唯一的 bundleId

3.賬戶名:直接用用戶名稱就可以.

// 2.從鑰匙串加載密碼

self.pwdText.text = [SSKeychain passwordForService:bundleId account:self.usernameText.text];

}

}

/*----------------- 06 指紋識別 ----------------------------*/

重點: 1.指紋識別用法

{? ??

? ? 指紋識別功能是 iphone 5S之后推出的.SDK是 iOS 8.0 推出!? ?

?推出指紋識別功能的目的,是為了簡化移動支付環節,占領移動支付市場.??

? 使用步驟:??

? {? ? ? ?

?1> 導入框架;? ? #import2> 指紋識別的實現:

{

1. 需要判斷手機系統版本是否是 iOS 8.0 以上的版本.只有 iOS 8.0 以上才支持.

// 獲得當前系統版本號

float version = [UIDevice currentDevice].systemVersion.floatValue;

if (version < 8.0 ) // 判斷當前系統版本

{

NSLog(@"系統版本太低,請升級至最新系統");

return;

}

2. 實例化指紋識別對象,判斷當前設備是否支持指紋識別功能(是否帶有TouchID).

// 1> 實例化指紋識別對象

LAContext *laCtx = [[LAContext alloc] init];

// 2> 判斷當前設備是否支持指紋識別功能.

if (![laCtx canEvaluatePolicy:LAPolicyDeviceOwnerAuthenticationWithBiometrics error:NULL])

{ // 如果設備不支持指紋識別功能

NSLog(@"該設備不支持指紋識別功能");

return;

};

3.指紋登陸(默認是異步方法)

// 指紋登陸

[laCtx evaluatePolicy:LAPolicyDeviceOwnerAuthenticationWithBiometrics localizedReason:@"指紋登陸" reply:^(BOOL success, NSError *error)

{

// 如果成功,表示指紋輸入正確.

if (success) {

NSLog(@"指紋識別成功!");

}else

{

NSLog(@"指紋識別錯誤,請再次嘗試");

}

}];

}

}

}

HTTP狀態碼

1xx消息

這一類型的狀態碼，代表請求已被接受，需要繼續處理。這類響應是臨時響應，只包含狀態行和某些可選的響應頭信息，并以空行結束。由于HTTP/1.0協議中沒有定義任何1xx狀態碼，所以除非在某些試驗條件下，服務器禁止向此類客戶端發送1xx響應。 這些狀態碼代表的響應都是信息性的，標示客戶應該采取的其他行動。

100 Continue

客戶端應當繼續發送請求。這個臨時響應是用來通知客戶端它的部分請求已經被服務器接收，且仍未被拒絕。客戶端應當繼續發送請求的剩余部分，或者如果請求已經完成，忽略這個響應。服務器必須在請求完成后向客戶端發送一個最終響應。

101 Switching Protocols

服務器已經理解了客戶端的請求，并將通過Upgrade消息頭通知客戶端采用不同的協議來完成這個請求。在發送完這個響應最后的空行后，服務器將會切換到在Upgrade消息頭中定義的那些協議。: 只有在切換新的協議更有好處的時候才應該采取類似措施。例如，切換到新的HTTP版本比舊版本更有優勢，或者切換到一個實時且同步的協議以傳送利用此類特性的資源。

102 Processing

由WebDAV（RFC 2518）擴展的狀態碼，代表處理將被繼續執行。

2xx成功

這一類型的狀態碼，代表請求已成功被服務器接收、理解、并接受。

200 OK

請求已成功，請求所希望的響應頭或數據體將隨此響應返回。

201 Created

請求已經被實現，而且有一個新的資源已經依據請求的需要而創建，且其URI已經隨Location頭信息返回。假如需要的資源無法及時創建的話，應當返回'202 Accepted'。

202 Accepted

服務器已接受請求，但尚未處理。正如它可能被拒絕一樣，最終該請求可能會也可能不會被執行。在異步操作的場合下，沒有比發送這個狀態碼更方便的做法了。:返回202狀態碼的響應的目的是允許服務器接受其他過程的請求（例如某個每天只執行一次的基于批處理的操作），而不必讓客戶端一直保持與服務器的連接直到批處理操作全部完成。在接受請求處理并返回202狀態碼的響應應當在返回的實體中包含一些指示處理當前狀態的信息，以及指向處理狀態監視器或狀態預測的指針，以便用戶能夠估計操作是否已經完成。

203 Non-Authoritative Information

服務器已成功處理了請求，但返回的實體頭部元信息不是在原始服務器上有效的確定集合，而是來自本地或者第三方的拷貝。當前的信息可能是原始版本的子集或者超集。例如，包含資源的元數據可能導致原始服務器知道元信息的超集。使用此狀態碼不是必須的，而且只有在響應不使用此狀態碼便會返回200 OK的情況下才是合適的。

204 No Content

服務器成功處理了請求，但不需要返回任何實體內容，并且希望返回更新了的元信息。響應可能通過實體頭部的形式，返回新的或更新后的元信息。如果存在這些頭部信息，則應當與所請求的變量相呼應。

如果客戶端是瀏覽器的話，那么用戶瀏覽器應保留發送了該請求的頁面，而不產生任何文檔視圖上的變化，即使按照規范新的或更新后的元信息應當被應用到用戶瀏覽器活動視圖中的文檔。

由于204響應被禁止包含任何消息體，因此它始終以消息頭后的第一個空行結尾。

205 Reset Content

服務器成功處理了請求，且沒有返回任何內容。但是與204響應不同，返回此狀態碼的響應要求請求者重置文檔視圖。該響應主要是被用于接受用戶輸入后，立即重置表單，以便用戶能夠輕松地開始另一次輸入。

與204響應一樣，該響應也被禁止包含任何消息體，且以消息頭后的第一個空行結束。

206 Partial Content

服務器已經成功處理了部分GET請求。類似于FlashGet或者迅雷這類的HTTP 下載工具都是使用此類響應實現斷點續傳或者將一個大文檔分解為多個下載段同時下載。

該請求必須包含Range頭信息來指示客戶端希望得到的內容范圍，并且可能包含If-Range來作為請求條件。

響應必須包含如下的頭部域：

Content-Range用以指示本次響應中返回的內容的范圍；如果是Content-Type為multipart/byteranges的多段下載，則每一multipart段中都應包含Content-Range域用以指示本段的內容范圍。假如響應中包含Content-Length，那么它的數值必須匹配它返回的內容范圍的真實字節數。

Date

ETag和／或Content-Location，假如同樣的請求本應該返回200響應。

Expires, Cache-Control，和／或Vary，假如其值可能與之前相同變量的其他響應對應的值不同的話。

假如本響應請求使用了If-Range強緩存驗證，那么本次響應不應該包含其他實體頭；假如本響應的請求使用了If-Range弱緩存驗證，那么本次響應禁止包含其他實體頭；這避免了緩存的實體內容和更新了的實體頭信息之間的不一致。否則，本響應就應當包含所有本應該返回200響應中應當返回的所有實體頭部域。

假如ETag或Last-Modified頭部不能精確匹配的話，則客戶端緩存應禁止將206響應返回的內容與之前任何緩存過的內容組合在一起。

任何不支持Range以及Content-Range頭的緩存都禁止緩存206響應返回的內容。

207 Multi-Status

由WebDAV(RFC 2518)擴展的狀態碼，代表之后的消息體將是一個XML消息，并且可能依照之前子請求數量的不同，包含一系列獨立的響應代碼。

3xx重定向

這類狀態碼代表需要客戶端采取進一步的操作才能完成請求。通常，這些狀態碼用來重定向，后續的請求地址（重定向目標）在本次響應的Location域中指明。

當且僅當后續的請求所使用的方法是GET或者HEAD時，用戶瀏覽器才可以在沒有用戶介入的情況下自動提交所需要的后續請求。客戶端應當自動監測無限循環重定向（例如：A→B→C→……→A或A→A），因為這會導致服務器和客戶端大量不必要的資源消耗。按照HTTP/1.0版規范的建議，瀏覽器不應自動訪問超過5次的重定向。

300 Multiple Choices

被請求的資源有一系列可供選擇的回饋信息，每個都有自己特定的地址和瀏覽器驅動的商議信息。用戶或瀏覽器能夠自行選擇一個首選的地址進行重定向。

除非這是一個HEAD請求，否則該響應應當包括一個資源特性及地址的列表的實體，以便用戶或瀏覽器從中選擇最合適的重定向地址。這個實體的格式由Content-Type定義的格式所決定。瀏覽器可能根據響應的格式以及瀏覽器自身能力，自動作出最合適的選擇。當然，RFC 2616規范并沒有規定這樣的自動選擇該如何進行。

如果服務器本身已經有了首選的回饋選擇，那么在Location中應當指明這個回饋的URI；瀏覽器可能會將這個Location值作為自動重定向的地址。此外，除非額外指定，否則這個響應也是可緩存的。

301 Moved Permanently

被請求的資源已永久移動到新位置，并且將來任何對此資源的引用都應該使用本響應返回的若干個URI之一。如果可能，擁有鏈接編輯功能的客戶端應當自動把請求的地址修改為從服務器反饋回來的地址。除非額外指定，否則這個響應也是可緩存的。

新的永久性的URI應當在響應的Location域中返回。除非這是一個HEAD請求，否則響應的實體中應當包含指向新的URI的超鏈接及簡短說明。

如果這不是一個GET或者HEAD請求，因此瀏覽器禁止自動進行重定向，除非得到用戶的確認，因為請求的條件可能因此發生變化。

注意：對于某些使用HTTP/1.0協議的瀏覽器，當它們發送的POST請求得到了一個301響應的話，接下來的重定向請求將會變成GET方式。

302 Found

請求的資源現在臨時從不同的URI響應請求。由于這樣的重定向是臨時的，客戶端應當繼續向原有地址發送以后的請求。只有在Cache-Control或Expires中進行了指定的情況下，這個響應才是可緩存的。

新的臨時性的URI應當在響應的Location域中返回。除非這是一個HEAD請求，否則響應的實體中應當包含指向新的URI的超鏈接及簡短說明。

如果這不是一個GET或者HEAD請求，那么瀏覽器禁止自動進行重定向，除非得到用戶的確認，因為請求的條件可能因此發生變化。

注意：雖然RFC 1945和RFC 2068規范不允許客戶端在重定向時改變請求的方法，但是很多現存的瀏覽器將302響應視作為303響應，并且使用GET方式訪問在Location中規定的URI，而無視原先請求的方法。狀態碼303和307被添加了進來，用以明確服務器期待客戶端進行何種反應。

303 See Other

對應當前請求的響應可以在另一個URI上被找到，而且客戶端應當采用GET的方式訪問那個資源。這個方法的存在主要是為了允許由腳本激活的POST請求輸出重定向到一個新的資源。這個新的URI不是原始資源的替代引用。同時，303響應禁止被緩存。當然，第二個請求（重定向）可能被緩存。

新的URI應當在響應的Location域中返回。除非這是一個HEAD請求，否則響應的實體中應當包含指向新的URI的超鏈接及簡短說明。

注意：許多HTTP/1.1版以前的瀏覽器不能正確理解303狀態。如果需要考慮與這些瀏覽器之間的互動，302狀態碼應該可以勝任，因為大多數的瀏覽器處理302響應時的方式恰恰就是上述規范要求客戶端處理303響應時應當做的。

304 Not Modified

如果客戶端發送了一個帶條件的GET請求且該請求已被允許，而文檔的內容（自上次訪問以來或者根據請求的條件）并沒有改變，則服務器應當返回這個狀態碼。304響應禁止包含消息體，因此始終以消息頭后的第一個空行結尾。

該響應必須包含以下的頭信息：

Date，除非這個服務器沒有時鐘。假如沒有時鐘的服務器也遵守這些規則，那么代理服務器以及客戶端可以自行將Date字段添加到接收到的響應頭中去（正如RFC 2068中規定的一樣），緩存機制將會正常工作。

ETag和／或Content-Location，假如同樣的請求本應返回200響應。

Expires, Cache-Control，和／或Vary，假如其值可能與之前相同變量的其他響應對應的值不同的話。

假如本響應請求使用了強緩存驗證，那么本次響應不應該包含其他實體頭；否則（例如，某個帶條件的GET請求使用了弱緩存驗證），本次響應禁止包含其他實體頭；這避免了緩存了的實體內容和更新了的實體頭信息之間的不一致。

假如某個304響應指明了當前某個實體沒有緩存，那么緩存系統必須忽視這個響應，并且重復發送不包含限制條件的請求。

假如接收到一個要求更新某個緩存條目的304響應，那么緩存系統必須更新整個條目以反映所有在響應中被更新的字段的值。

305 Use Proxy

被請求的資源必須通過指定的代理才能被訪問。Location域中將給出指定的代理所在的URI信息，接收者需要重復發送一個單獨的請求，通過這個代理才能訪問相應資源。只有原始服務器才能創建305響應。

注意：RFC 2068中沒有明確305響應是為了重定向一個單獨的請求，而且只能被原始服務器創建。忽視這些限制可能導致嚴重的安全后果。

306 Switch Proxy

在最新版的規范中，306狀態碼已經不再被使用。

307 Temporary Redirect

請求的資源現在臨時從不同的URI響應請求。由于這樣的重定向是臨時的，客戶端應當繼續向原有地址發送以后的請求。只有在Cache-Control或Expires中進行了指定的情況下，這個響應才是可緩存的。

新的臨時性的URI應當在響應的Location域中返回。除非這是一個HEAD請求，否則響應的實體中應當包含指向新的URI的超鏈接及簡短說明。因為部分瀏覽器不能識別307響應，因此需要添加上述必要信息以便用戶能夠理解并向新的URI發出訪問請求。

如果這不是一個GET或者HEAD請求，那么瀏覽器禁止自動進行重定向，除非得到用戶的確認，因為請求的條件可能因此發生變化。

4xx客戶端錯誤

這類的狀態碼代表了客戶端看起來可能發生了錯誤，妨礙了服務器的處理。除非響應的是一個HEAD請求，否則服務器就應該返回一個解釋當前錯誤狀況的實體，以及這是臨時的還是永久性的狀況。這些狀態碼適用于任何請求方法。瀏覽器應當向用戶顯示任何包含在此類錯誤響應中的實體內容。

如果錯誤發生時客戶端正在傳送數據，那么使用TCP的服務器實現應當仔細確保在關閉客戶端與服務器之間的連接之前，客戶端已經收到了包含錯誤信息的數據包。如果客戶端在收到錯誤信息后繼續向服務器發送數據，服務器的TCP棧將向客戶端發送一個重置數據包，以清除該客戶端所有還未識別的輸入緩沖，以免這些數據被服務器上的應用程序讀取并干擾后者。

400 Bad Request

由于包含語法錯誤，當前請求無法被服務器理解。除非進行修改，否則客戶端不應該重復提交這個請求。

401 Unauthorized

當前請求需要用戶驗證。該響應必須包含一個適用于被請求資源的WWW-Authenticate信息頭用以詢問用戶信息。客戶端可以重復提交一個包含恰當的Authorization頭信息的請求。如果當前請求已經包含了Authorization證書，那么401響應代表著服務器驗證已經拒絕了那些證書。如果401響應包含了與前一個響應相同的身份驗證詢問，且瀏覽器已經至少嘗試了一次驗證，那么瀏覽器應當向用戶展示響應中包含的實體信息，因為這個實體信息中可能包含了相關診斷信息。參見RFC 2617。

402 Payment Required

該狀態碼是為了將來可能的需求而預留的。

403 Forbidden

服務器已經理解請求，但是拒絕執行它。與401響應不同的是，身份驗證并不能提供任何幫助，而且這個請求也不應該被重復提交。如果這不是一個HEAD請求，而且服務器希望能夠講清楚為何請求不能被執行，那么就應該在實體內描述拒絕的原因。當然服務器也可以返回一個404響應，假如它不希望讓客戶端獲得任何信息。

404 Not Found

請求失敗，請求所希望得到的資源未被在服務器上發現。沒有信息能夠告訴用戶這個狀況到底是暫時的還是永久的。假如服務器知道情況的話，應當使用410狀態碼來告知舊資源因為某些內部的配置機制問題，已經永久的不可用，而且沒有任何可以跳轉的地址。404這個狀態碼被廣泛應用于當服務器不想揭示到底為何請求被拒絕或者沒有其他適合的響應可用的情況下。

405 Method Not Allowed

請求行中指定的請求方法不能被用于請求相應的資源。該響應必須返回一個Allow頭信息用以表示出當前資源能夠接受的請求方法的列表。

鑒于PUT，DELETE方法會對服務器上的資源進行寫操作，因而絕大部分的網頁服務器都不支持或者在默認配置下不允許上述請求方法，對于此類請求均會返回405錯誤。

406 Not Acceptable

請求的資源的內容特性無法滿足請求頭中的條件，因而無法生成響應實體。

除非這是一個HEAD請求，否則該響應就應當返回一個包含可以讓用戶或者瀏覽器從中選擇最合適的實體特性以及地址列表的實體。實體的格式由Content-Type頭中定義的媒體類型決定。瀏覽器可以根據格式及自身能力自行作出最佳選擇。但是，規范中并沒有定義任何作出此類自動選擇的標準。

407 Proxy Authentication Required

與401響應類似，只不過客戶端必須在代理服務器上進行身份驗證。代理服務器必須返回一個Proxy-Authenticate用以進行身份詢問。客戶端可以返回一個Proxy-Authorization信息頭用以驗證。參見RFC 2617。

408 Request Timeout

請求超時。客戶端沒有在服務器預備等待的時間內完成一個請求的發送。客戶端可以隨時再次提交這一請求而無需進行任何更改。

409 Conflict

由于和被請求的資源的當前狀態之間存在沖突，請求無法完成。這個代碼只允許用在這樣的情況下才能被使用：用戶被認為能夠解決沖突，并且會重新提交新的請求。該響應應當包含足夠的信息以便用戶發現沖突的源頭。

沖突通常發生于對PUT請求的處理中。例如，在采用版本檢查的環境下，某次PUT提交的對特定資源的修改請求所附帶的版本信息與之前的某個（第三方）請求向沖突，那么此時服務器就應該返回一個409錯誤，告知用戶請求無法完成。此時，響應實體中很可能會包含兩個沖突版本之間的差異比較，以便用戶重新提交歸并以后的新版本。

410 Gone

被請求的資源在服務器上已經不再可用，而且沒有任何已知的轉發地址。這樣的狀況應當被認為是永久性的。如果可能，擁有鏈接編輯功能的客戶端應當在獲得用戶許可后刪除所有指向這個地址的引用。如果服務器不知道或者無法確定這個狀況是否是永久的，那么就應該使用404狀態碼。除非額外說明，否則這個響應是可緩存的。

410響應的目的主要是幫助網站管理員維護網站，通知用戶該資源已經不再可用，并且服務器擁有者希望所有指向這個資源的遠端連接也被刪除。這類事件在限時、增值服務中很普遍。同樣，410響應也被用于通知客戶端在當前服務器站點上，原本屬于某個個人的資源已經不再可用。當然，是否需要把所有永久不可用的資源標記為'410 Gone'，以及是否需要保持此標記多長時間，完全取決于服務器擁有者。

411 Length Required

服務器拒絕在沒有定義Content-Length頭的情況下接受請求。在添加了表明請求消息體長度的有效Content-Length頭之后，客戶端可以再次提交該請求。

412 Precondition Failed

服務器在驗證在請求的頭字段中給出先決條件時，沒能滿足其中的一個或多個。這個狀態碼允許客戶端在獲取資源時在請求的元信息（請求頭字段數據）中設置先決條件，以此避免該請求方法被應用到其希望的內容以外的資源上。

413 Request Entity Too Large

服務器拒絕處理當前請求，因為該請求提交的實體數據大小超過了服務器愿意或者能夠處理的范圍。此種情況下，服務器可以關閉連接以免客戶端繼續發送此請求。

如果這個狀況是臨時的，服務器應當返回一個Retry-After的響應頭，以告知客戶端可以在多少時間以后重新嘗試。

414 Request-URI Too Long

請求的URI長度超過了服務器能夠解釋的長度，因此服務器拒絕對該請求提供服務。這比較少見，通常的情況包括：

本應使用POST方法的表單提交變成了GET方法，導致查詢字符串（Query String）過長。

重定向URI“黑洞”，例如每次重定向把舊的URI作為新的URI的一部分，導致在若干次重定向后URI超長。

客戶端正在嘗試利用某些服務器中存在的安全漏洞攻擊服務器。這類服務器使用固定長度的緩沖讀取或操作請求的URI，當GET后的參數超過某個數值后，可能會產生緩沖區溢出，導致任意代碼被執行[1]。沒有此類漏洞的服務器，應當返回414狀態碼。

415 Unsupported Media Type

對于當前請求的方法和所請求的資源，請求中提交的實體并不是服務器中所支持的格式，因此請求被拒絕。

416 Requested Range Not Satisfiable

如果請求中包含了Range請求頭，并且Range中指定的任何數據范圍都與當前資源的可用范圍不重合，同時請求中又沒有定義If-Range請求頭，那么服務器就應當返回416狀態碼。

假如Range使用的是字節范圍，那么這種情況就是指請求指定的所有數據范圍的首字節位置都超過了當前資源的長度。服務器也應當在返回416狀態碼的同時，包含一個Content-Range實體頭，用以指明當前資源的長度。這個響應也被禁止使用multipart/byteranges作為其Content-Type。

417 Expectation Failed

在請求頭Expect中指定的預期內容無法被服務器滿足，或者這個服務器是一個代理服務器，它有明顯的證據證明在當前路由的下一個節點上，Expect的內容無法被滿足。

418 I'm a teapot

本操作碼是在1998年作為IETF的傳統愚人節笑話, 在RFC 2324 超文本咖啡壺控制協議中定義的，并不需要在真實的HTTP服務器中定義。

421 There are too many connections from your internet address

從當前客戶端所在的IP地址到服務器的連接數超過了服務器許可的最大范圍。通常，這里的IP地址指的是從服務器上看到的客戶端地址（比如用戶的網關或者代理服務器地址）。在這種情況下，連接數的計算可能涉及到不止一個終端用戶。

422 Unprocessable Entity

請求格式正確，但是由于含有語義錯誤，無法響應。（RFC 4918 WebDAV）

423 Locked

當前資源被鎖定。（RFC 4918 WebDAV）

424 Failed Dependency

由于之前的某個請求發生的錯誤，導致當前請求失敗，例如PROPPATCH。（RFC 4918 WebDAV）

425 Unordered Collection

在WebDav Advanced Collections草案中定義，但是未出現在《WebDAV順序集協議》（RFC 3658）中。

426 Upgrade Required

客戶端應當切換到TLS/1.0。（RFC 2817）

449 Retry With

由微軟擴展，代表請求應當在執行完適當的操作后進行重試。

5xx服務器錯誤

這類狀態碼代表了服務器在處理請求的過程中有錯誤或者異常狀態發生，也有可能是服務器意識到以當前的軟硬件資源無法完成對請求的處理。除非這是一個HEAD請求，否則服務器應當包含一個解釋當前錯誤狀態以及這個狀況是臨時的還是永久的解釋信息實體。瀏覽器應當向用戶展示任何在當前響應中被包含的實體。

這些狀態碼適用于任何響應方法。

500 Internal Server Error

服務器遇到了一個未曾預料的狀況，導致了它無法完成對請求的處理。一般來說，這個問題都會在服務器的程序碼出錯時出現。

501 Not Implemented

服務器不支持當前請求所需要的某個功能。當服務器無法識別請求的方法，并且無法支持其對任何資源的請求。

502 Bad Gateway

作為網關或者代理工作的服務器嘗試執行請求時，從上游服務器接收到無效的響應。

503 Service Unavailable

由于臨時的服務器維護或者過載，服務器當前無法處理請求。這個狀況是臨時的，并且將在一段時間以后恢復。如果能夠預計延遲時間，那么響應中可以包含一個Retry-After頭用以標明這個延遲時間。如果沒有給出這個Retry-After信息，那么客戶端應當以處理500響應的方式處理它。

504 Gateway Timeout

作為網關或者代理工作的服務器嘗試執行請求時，未能及時從上游服務器（URI標識出的服務器，例如HTTP、FTP、LDAP）或者輔助服務器（例如DNS）收到響應。

注意：某些代理服務器在DNS查詢超時時會返回400或者500錯誤

505 HTTP Version Not Supported

服務器不支持，或者拒絕支持在請求中使用的HTTP版本。這暗示著服務器不能或不愿使用與客戶端相同的版本。響應中應當包含一個描述了為何版本不被支持以及服務器支持哪些協議的實體。

506 Variant Also Negotiates

由《透明內容協商協議》（RFC 2295）擴展，代表服務器存在內部配置錯誤：被請求的協商變元資源被配置為在透明內容協商中使用自己，因此在一個協商處理中不是一個合適的重點。

507 Insufficient Storage

服務器無法存儲完成請求所必須的內容。這個狀況被認為是臨時的。WebDAV（RFC 4918）

509 Bandwidth Limit Exceeded

服務器達到帶寬限制。這不是一個官方的狀態碼，但是仍被廣泛使用。

510 Not Extended

獲取資源所需要的策略并沒有沒滿足。