Une session HTTP typique

Dans les protocoles client-serveur, comme HTTP, les sessions se composent de trois phases :

  1. Le client établit une connexion TCP (ou la connexion appropriée si la couche de transport n'est pas TCP).
  2. Le client envoie sa requête et attend la réponse.
  3. Le serveur traite la requête, renvoyant sa réponse, fournissant un code d'état et des données appropriées.

À partir de HTTP / 1.1, la connexion n'est plus fermée après avoir terminé la troisième phase, et le client peut à nouveau effectuer une requête : cela signifie que la deuxième et la troisième phases peuvent maintenant être effectuées à tout moment.

Établir une connexion

Dans les protocoles client-serveur, c'est le client qui établit la connexion. L'ouverture d'une connexion en HTTP signifie l'initiation d'une connexion dans la couche de transport sous-jacente, généralement TCP.

Avec TCP, le port par défaut, pour un serveur HTTP sur un ordinateur, est le port 80. D'autres ports peuvent également être utilisés, comme 8000 ou 8080. L'URL d'une page à récupérer contient à la fois le nom de domaine et le numéro de port, Ce dernier peut être omis s'il en est à 80. Voir Identifying resources on the Web pour plus de details.

Note: Le modèle client-serveur n'autorise pas le serveur à envoyer des données au client sans une demande explicite. Pour contourner ce problème, les développeurs Web utilisent plusieurs techniques: effectuer un ping sur le serveur périodiquement via le XMLHTTPRequest, Fetch API, en utilisant le HTML WebSockets API, ou des protocoles similaires.

Envoi d'une demande client

Une fois la connexion établie, l'agent utilisateur peut envoyer la demande (un agent utilisateur est généralement un navigateur Web, mais peut être autre chose, un robot d'exploration, par exemple). Une demande de client consiste en des directives de texte, séparées par CRLF (retour de chariot, suivi d'une alimentation en ligne), divisé en trois blocs :

  1. La première ligne contient une méthode de demande suivie de ses paramètres:
    • le chemin d'accès du document, c'est-à-dire une URL absolue sans le protocole ou le nom de domaine
    • la version du protocole HTTP
  2. Les lignes subséquentes représentent un en-tête HTTP, ce qui donne aux informations du serveur quel type de données est approprié (par exemple, quelle langue, quels types MIME) ou d'autres données modifient son comportement (par exemple, ne pas envoyer de réponse s'il est déjà mis en cache). Ces en-têtes HTTP forment un bloc qui se termine par une ligne vide.
  3. Le bloc final est un bloc de données facultatif, qui peut contenir d'autres données principalement utilisées par la méthode POST.

Demandes d'exemple

Obtenir la page racine de developer.mozilla.org, c'est-à-dire http://developer.mozilla.org/, et dire au serveur que l'utilisateur-agent préférerait la page en français si possible :

GET / HTTP/1.1
Host: developer.mozilla.org
Accept-Language: fr
 

Observez cette dernière ligne vide, ceci sépare le bloc de données du bloc d'en-tête. Comme il n'y a pas de Content-Length fourni dans un en-tête HTTP, ce bloc de données est présenté vide, marquant la fin des en-têtes, permettant au serveur de traiter la demande le moment où elle reçoit cette ligne vide.

Par exemple, en envoyant le résultat d'un formulaire :

POST /contact_form.php HTTP/1.1
Host: developer.mozilla.org
Content-Length: 64
Content-Type: application/x-www-form-urlencoded

name=Joe%20User&request=Send%20me%20one%20of%20your%20catalogue

Méthodes de demande

HTTP définit un ensemble de méthodes de requête indiquant l'action souhaitée à effectuer sur une ressource. Bien qu'ils puissent également être des noms, ces méthodes de requêtes sont parfois appelées verbes HTTP. Les requêtes les plus courantes sont GET et POST :

  • La méthode GET demande une représentation de données de la ressource spécifiée. Les requêtes utilisant GET ne doivent que récupérer les données.
  • La méthode POST envoie des données à un serveur afin qu'il puisse changer son état. C'est la méthode souvent utilisée pour les formulaires HTML.

Structure d'une réponse du serveur

Une fois que l'agent connecté a envoyé sa requête, le serveur Web le traite et finalement renvoie une réponse. Similaire à une demande de client, une réponse de serveur est formée de directives de texte, séparées par CRLF, mais divisées en trois blocs :

  1. La première ligne, la ligne d'état, consiste en une reconnaissance de la version HTTP utilisée, suivie d'une demande d'état (et sa brève signification dans un texte lisible par l'homme).
  2. Les lignes suivantes représentent des en-têtes HTTP spécifiques, en donnant aux clients des informations sur les données envoyées (par exemple, type, taille de données, algorithme de compression utilisé, conseils sur la mise en cache). De la même manière que le bloc d'en-têtes HTTP pour une demande de client, ces en-têtes HTTP forment un bloc se terminant par une ligne vide.
  3. Le dernier bloc est un bloc de données, qui contient les données facultatives.

Examples de réponses

Réponse réussie de la page Web :

HTTP/1.1 200 OK
Date: Sat, 09 Oct 2010 14:28:02 GMT
Server: Apache
Last-Modified: Tue, 01 Dec 2009 20:18:22 GMT
ETag: "51142bc1-7449-479b075b2891b"
Accept-Ranges: bytes
Content-Length: 29769
Content-Type: text/html

<!DOCTYPE html... (here comes the 29769 bytes of the requested web page)

Notification selon laquelle la ressource demandée a été définitivement déplacé ( en permanence ) :

HTTP/1.1 301 Moved Permanently
Server: Apache/2.2.3 (Red Hat)
Content-Type: text/html; charset=iso-8859-1
Date: Sat, 09 Oct 2010 14:30:24 GMT
Location: https://developer.mozilla.org/ (this is the new link to the resource; it is expected that the user-agent will fetch it)
Keep-Alive: timeout=15, max=98
Accept-Ranges: bytes
Via: Moz-Cache-zlb05
Connection: Keep-Alive
X-Cache-Info: caching
X-Cache-Info: caching
Content-Length: 325 (the content contains a default page to display if the user-agent is not able to follow the link)

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="https://developer.mozilla.org/">here</a>.</p>
<hr>
<address>Apache/2.2.3 (Red Hat) Server at developer.mozilla.org Port 80</address>
</body></html>

Notification selon laquelle la ressource demandée n'existe pas :

HTTP/1.1 404 Not Found
Date: Sat, 09 Oct 2010 14:33:02 GMT
Server: Apache
Last-Modified: Tue, 01 May 2007 14:24:39 GMT
ETag: "499fd34e-29ec-42f695ca96761;48fe7523cfcc1"
Accept-Ranges: bytes
Content-Length: 10732
Content-Type: text/html

<!DOCTYPE html... (contains a site-customized page helping the user to find the missing resource)

Codes d'état de réponse

Les codes d'état de réponse HTTP indiquent si une requête HTTP spécifique a été effectuée avec succès. Les réponses sont regroupées en cinq classes: réponses d'information, réponses réussies, redirections, erreurs de client et erreurs de serveurs.

  • 200: OK. La demande a réussi.
  • 301: Moved Permanently. Ce code de réponse signifie que l'URL de la ressource demandée a été modifiée.
  • 404: Not Found. Le serveur ne peut pas trouver la ressource demandée.

Voir aussi

Dernière modification :

, by MDN contributors
Sujets associés
  1. HTTP
  2. Guides:
  3. Resources and URIs
    1. Identifying resources on the Web
    2. Data URIs
    3. Introduction to MIME Types
    4. Complete list of MIME Types
    5. Choosing between www and non-www URLs
  4. HTTP guide
    1. Basics of HTTP
    2. Overview of HTTP
    3. Evolution of HTTP
    4. HTTP Messages
    5. A typical HTTP session
    6. Connection management in HTTP/1.x
    7. Protocol upgrade mechanism
  5. HTTP security
    1. Content Security Policy (CSP)
    2. HTTP Public Key Pinning (HPKP)
    3. HTTP Strict Transport Security (HSTS)
    4. Cookie security
    5. X-Content-Type-Options
    6. X-Frame-Options
    7. X-XSS-Protection
    8. Mozilla web security guidelines
    9. Mozilla Observatory
  6. HTTP access control (CORS)
  7. HTTP authentication
  8. HTTP caching
  9. HTTP compression
  10. HTTP conditional requests
  11. HTTP content negotiation
  12. HTTP cookies
  13. HTTP range requests
  14. HTTP redirects
  15. HTTP specifications
  16. Feature policy
  17. References:
  18. HTTP headers
    1. Accept
    2. Accept-Charset [Traduire]
    3. Accept-Encoding
    4. Accept-Language
    5. Accept-Ranges [Traduire]
    6. Access-Control-Allow-Credentials [Traduire]
    7. Access-Control-Allow-Headers [Traduire]
    8. Access-Control-Allow-Methods [Traduire]
    9. Access-Control-Allow-Origin
    10. Access-Control-Expose-Headers [Traduire]
    11. Access-Control-Max-Age [Traduire]
    12. Access-Control-Request-Headers
    13. Access-Control-Request-Method [Traduire]
    14. Age
    15. Allow [Traduire]
    16. Alt-Svc [Traduire]
    17. Authorization [Traduire]
    18. Cache-Control
    19. Clear-Site-Data [Traduire]
    20. Connection [Traduire]
    21. Content-Disposition
    22. Content-Encoding [Traduire]
    23. Content-Language
    24. Content-Length
    25. Content-Location [Traduire]
    26. Content-Range [Traduire]
    27. Politique de sécurité de contenu
    28. Content-Security-Policy-Report-Only [Traduire]
    29. Content-Type
    30. Cookie [Traduire]
    31. Cookie2 [Traduire]
    32. DNT
    33. Date
    34. ETag
    35. Early-Data [Traduire]
    36. Expect [Traduire]
    37. Expect-CT [Traduire]
    38. Expires
    39. Feature-Policy [Traduire]
    40. Forwarded [Traduire]
    41. From [Traduire]
    42. Host
    43. If-Match [Traduire]
    44. If-Modified-Since
    45. If-None-Match
    46. If-Range [Traduire]
    47. If-Unmodified-Since [Traduire]
    48. Index [Traduire]
    49. Keep-Alive
    50. Large-Allocation [Traduire]
    51. Last-Modified
    52. Location [Traduire]
    53. Origin
    54. Pragma
    55. Proxy-Authenticate [Traduire]
    56. Proxy-Authorization [Traduire]
    57. Public-Key-Pins [Traduire]
    58. Public-Key-Pins-Report-Only [Traduire]
    59. Range [Traduire]
    60. Referer
    61. Referrer-Policy [Traduire]
    62. Retry-After [Traduire]
    63. Sec-WebSocket-Accept [Traduire]
    64. Serveur
    65. Server-Timing [Traduire]
    66. Set-Cookie
    67. Set-Cookie2 [Traduire]
    68. SourceMap [Traduire]
    69. HTTP Strict Transport Security
    70. TE [Traduire]
    71. Timing-Allow-Origin [Traduire]
    72. Tk [Traduire]
    73. Trailer
    74. Transfer-Encoding [Traduire]
    75. Upgrade-Insecure-Requests [Traduire]
    76. User-Agent [Traduire]
    77. Vary
    78. Via [Traduire]
    79. WWW-Authenticate
    80. Warning [Traduire]
    81. X-Content-Type-Options [Traduire]
    82. X-DNS-Prefetch-Control [Traduire]
    83. X-Forwarded-For [Traduire]
    84. X-Forwarded-Host [Traduire]
    85. X-Forwarded-Proto [Traduire]
    86. X-Frame-Options
    87. X-XSS-Protection [Traduire]
  19. HTTP request methods
    1. CONNECT
    2. DELETE
    3. GET
    4. HEAD
    5. OPTIONS
    6. PATCH
    7. POST
    8. PUT
    9. TRACE [Traduire]
  20. HTTP response status codes
    1. 100 Continue
    2. 101 Switching Protocol
    3. 200 OK
    4. 201 Created
    5. 202 Accepted
    6. 203 Non-Authoritative Information
    7. 204 No Content
    8. 205 Reset Content
    9. 206 Partial Content
    10. 300 Multiple Choices
    11. 301 Moved Permanently
    12. 302 Found
    13. 303 See Other
    14. 304 Not Modified
    15. 307 Temporary Redirect
    16. 308 Permanent Redirect
    17. 400 Bad Request
    18. 401 Unauthorized
    19. 403 Forbidden
    20. 404 Not Found
    21. 405 Method Not Allowed
    22. 406 Not Acceptable
    23. 407 Proxy Authentication Required
    24. 408 Request Timeout
    25. 409 Conflict
    26. 410 Gone
    27. 411 Length Required
    28. 412 Precondition Failed
    29. 413 Payload Too Large
    30. 414 URI Too Long
    31. 415 Unsupported Media Type
    32. 416 Range Not Satisfiable
    33. 417 Expectation Failed
    34. 418 I'm a teapot (je suis une théière)
    35. 422 Unprocessable Entity
    36. 425 Too Early
    37. 426 Upgrade Required
    38. 428 Precondition Required
    39. 429 Too Many Requests
    40. 431 Request Header Fields Too Large
    41. 451 Unavailable For Legal Reasons
    42. 500 Internal Server Error
    43. 501 Not Implemented
    44. 502 Bad Gateway
    45. 503 Service Unavailable
    46. 504 Gateway Timeout
    47. 505 HTTP Version Not Supported
    48. 511 Network Authentication Required
  21. CSP directives
    1. CSP: base-uri [Traduire]
    2. CSP: block-all-mixed-content
    3. CSP: child-src [Traduire]
    4. CSP: connect-src [Traduire]
    5. CSP: default-src [Traduire]
    6. CSP: font-src [Traduire]
    7. CSP: form-action [Traduire]
    8. CSP: frame-ancestors [Traduire]
    9. CSP: frame-src [Traduire]
    10. CSP: img-src [Traduire]
    11. CSP: manifest-src [Traduire]
    12. CSP: media-src [Traduire]
    13. CSP: object-src [Traduire]
    14. CSP: plugin-types [Traduire]
    15. CSP: referrer [Traduire]
    16. CSP: report-uri [Traduire]
    17. CSP: require-sri-for [Traduire]
    18. CSP: sandbox [Traduire]
    19. CSP: script-src [Traduire]
    20. CSP: style-src [Traduire]
    21. CSP: upgrade-insecure-requests
    22. CSP: worker-src [Traduire]
    23. report-to [Traduire]
  22. CORS errors
    1. Raison: CORS désactiver
    2. Reason: CORS header 'Access-Control-Allow-Origin' does not match 'xyz' [Traduire]
    3. Raison : l’en-tête CORS « Access-Control-Allow-Origin » est manquant.
    4. Reason: CORS header ‘Origin’ cannot be added [Traduire]
    5. Reason: CORS preflight channel did not succeed [Traduire]
    6. Raison: la requête CORS a échoué
    7. Reason: CORS request external redirect not allowed [Traduire]
    8. Reason: CORS request not HTTP [Traduire]
    9. Reason: Credential is not supported if the CORS header ‘Access-Control-Allow-Origin’ is ‘*’ [Traduire]
    10. Reason: Did not find method in CORS header ‘Access-Control-Allow-Methods’ [Traduire]
    11. Reason: Multiple CORS header 'Access-Control-Allow-Origin' not allowed [Traduire]
    12. Reason: expected ‘true’ in CORS header ‘Access-Control-Allow-Credentials’ [Traduire]
    13. Reason: invalid token ‘xyz’ in CORS header ‘Access-Control-Allow-Headers’ [Traduire]
    14. Reason: invalid token ‘xyz’ in CORS header ‘Access-Control-Allow-Methods’ [Traduire]
    15. Reason: missing token ‘xyz’ in CORS header ‘Access-Control-Allow-Headers’ from CORS preflight channel [Traduire]
  23. Feature-Policy directives
    1. Feature-Policy: autoplay [Traduire]
    2. Feature-Policy: camera [Traduire]
    3. Feature-Policy: encrypted-media [Traduire]
    4. Feature-Policy: fullscreen [Traduire]
    5. Feature-Policy: geolocation [Traduire]
    6. Feature-Policy: microphone [Traduire]
    7. Feature-Policy: midi [Traduire]
    8. Feature-Policy: payment [Traduire]
    9. Feature-Policy: vr [Traduire]
    10. document-domain [Traduire]