HTTP 1.0 的 三種請求方式
- get
- post
- head
HTTP請求行
Method request-url http-version //Method即爲以上三種常用的請求方式
例如:get/get.php?arg=value1 http/1.1 //其中’?'爲分隔符
get 方式一般把數據直接放入url中
而post 方式則放在body後
HTTP 狀態碼
200 OK:服務器訪問成功
301/302:網站間進行跳轉
304:請求在本地有緩存
404:not found
501:服務器錯誤,內部數據庫錯誤
HTTP協議相應頭信息
Accept:設置接受的內容類型
Accept-Language:設置接受的語言
Accept-Encoding:設置接受的編碼格式
Host:設置服務器域名和TCP端口號,如果使用的是服務請求標準端口號,端口號可以省略
Accept-Datetime:設置接受的版本時間
Connection:設置當前連接和hop-by-hop協議請求字段列表的控制選項
詳參考與:https://www.jianshu.com/p/6e86903d74f7
http 一般響應頭格式
GET/sample.jspHTTP/1.1
Accept:image/gif.image/jpeg,/
Accept-Language:zh-cn
Connection:Keep-Alive
Host:localhost
User-Agent:Mozila/4.0(compatible;MSIE5.01;Window NT5.0)
Accept-Encoding:gzip,deflate
username=jinqiao&password=1234
返回頭儘量不要顯示後端的服務版本(nginx或apache版本)與後端開發語言(php版本等)
避免黑客通過後端服務版本與後端語言進行查找漏洞從而攻擊
HTTP 頭部詳解
置頂補充: X-Forwarded-For,CTF中經常用來僞造請求的IP地址,如:X-Forwarded-For:127.0.0.1
Client-IP: 127.0.0.1 也可以
1、 Accept:告訴 WEB 服務器自己接受什麼介質類型,/ 表示任何類型,type/* 表示該類型下的所有子類型,type/sub-type。
2、Accept-Charset: 瀏覽器申明自己接收的字符集,Accept-Encoding: 瀏覽器申明自己接收的編碼方法,通常指定壓縮方法,是否支持壓縮,支持什麼壓縮方法(gzip,deflate),Accept-Language::瀏覽器申明自己接收的語言
語言跟字符集的區別:中文是語言,中文有多種字符集,比如 big5,gb2312,gbk 等等。
3、 Accept-Ranges:WEB 服務器表明自己是否接受獲取其某個實體的一部分(比如文件的一部分)的請求。bytes:表示接受,none:表示不接受。
4、 Age:當代理服務器用自己緩存的實體去響應請求時,用該頭部表明該實體從產生到現在經過多長時間了。
5、 Authorization:當客戶端接收到來自 WEB 服務器的 WWW-Authenticate 響應時,用該頭部來回應自己的身份驗證信息給 WEB 服務器。
6、 Cache-Control:請求:no-cache(不要緩存的實體,要求現在從 WEB 服務器去取)
7、 Connection:請求:close(告訴 WEB 服務器或者代理服務器,在完成本次請求的響應後,斷開連接,不要等待本次連接的後續請求了)。keepalive(告訴 WEB 服務器或者代理服務器,在完成本次請求的響應後,保持連接,等待本次連接的後續請求)。
響應:close(連接已經關閉)。
keepalive(連接保持着,在等待本次連接的後續請求)。
Keep-Alive:如果瀏覽器請求保持連接,則該頭部表明希望 WEB 服務器保持連接多長時間(秒)。例如:Keep-Alive:300
8、 Content-Encoding:WEB 服務器表明自己使用了什麼壓縮方法(gzip,deflate)壓縮響應中的對象。例如:Content-Encoding:gzip
9、Content-Language:WEB 服務器告訴瀏覽器自己響應的對象的語言。
10、Content-Length:WEB 服務器告訴瀏覽器自己響應的對象的長度。例如:Content-Length:26012
11、Content-Range: WEB 服務器表明該響應包含的部分對象爲整個對象的哪個部分。例如:Content-Range: bytes 21010-47021/47022
12、Content-Type: WEB 服務器告訴瀏覽器自己響應的對象的類型。例如:Content-Type:application/xml
13、 ETag:就是一個對象(比如 URL)的標誌值,就一個對象而言,比如一個 html 文件,如果被修改了,其 Etag 也會別修改,所以 ETag 的作用跟 Last-Modified 的作用差不多,主要供WEB服務器判斷一個對象是否改變了。比如前一次請求某個 html 文件時,獲得了其ETag,當這次又請求這個文件時,瀏覽器就會把先前獲得的 ETag 值發送給 WEB 服務器,然後 WEB 服務器會把這個 ETag 跟該文件的當前 ETag 進行對比,然後就知道這個文件有沒有改變了。
14、 Expired:WEB 服務器表明該實體將在什麼時候過期,對於過期了的對象,只有在跟WEB 服務器驗證了其有效性後,才能用來響應客戶請求。是 HTTP/1.0 的頭部。例如:Expires:Sat, 23 May 2009 10:02:12 GMT
15、 Host:客戶端指定自己想訪問的 WEB 服務器的域名/IP 地址和端口號。例如:Host:rss.sina.com.cn
16、 If-Match:如果對象的 ETag 沒有改變,其實也就意味著對象沒有改變,才執行請求的動作。
17、If-None-Match:如果對象的 ETag 改變了,其實也就意味著對象也改變了,才執行請求的動作。
18、 If-Modified-Since:如果請求的對象在該頭部指定的時間之後修改了,才執行請求的動作(比如返回對象),否則返回代碼 304,告訴瀏覽器 該對象沒有修改。例如:If-Modified-Since:Thu, 10 Apr 2008 09:14:42 GMT
19、If-Unmodified-Since:如果請求的對象在該頭部指定的時間之後沒修改過,才執行請求的動作(比如返回對象)。
20、 If-Range:瀏覽器告訴 WEB 服務器,如果我請求的對象沒有改變,就把我缺少的部分給我,如果對象改變了,就把整個對象給我。瀏覽器通過發送請求對象的 ETag 或者 自己所知道的最後修改時間給 WEB 服務器,讓其判斷對象是否改變了。總是跟 Range 頭部一起使用。
21、 Last-Modified:WEB 服務器認爲對象的最後修改時間,比如文件的最後修改時間,動態頁面的最後產生時間等等。例如:Last-Modified:Tue, 06 May 2008 02:42:43 GMT
22、 Location:WEB 服務器告訴瀏覽器,試圖訪問的對象已經被移到別的位置了,到該頭部 指 定 的 位 置 去 取 。 例 如 : Location : http://i0.sinaimg.cn/dy/deco/2008/0528/sinahome_0803_ws_005_text_0.gif
23、 Pramga:主要使用 Pramga: no-cache,相當於 Cache-Control: no-cache。例如:Pragma:no-cache
24、 Proxy-Authenticate: 代理服務器響應瀏覽器,要求其提供代理身份驗證信息。Proxy-Authorization:瀏覽器響應代理服務器的身份驗證請求,提供自己的身份信息。
25、 Range:瀏覽器(比如 Flashget 多線程下載時)告訴 WEB 服務器自己想取對象的哪部分。例如:Range: bytes=1173546-
26、 Referer:瀏覽器向 WEB 服務器表明自己是從哪個 網頁/URL 獲得/點擊 當前請求中的網址/URL。例如:Referer:http://www.sina.com/
27、 Server: WEB 服務器表明自己是什麼軟件及版本等信息。例如:Server:Apache/2.0.61(Unix)
28、 User-Agent: 瀏覽器表明自己的身份(是哪種瀏覽器)。例如:User-Agent:Mozilla/5.0(Windows; U; Windows NT 5.1; zh-CN; rv:1.8.1.14) Gecko/20080404 Firefox/2、0、0、14
29、 Transfer-Encoding: WEB 服務器表明自己對本響應消息體(不是消息體裏面的對象)作了怎樣的編碼,比如是否分塊(chunked)。例如:Transfer-Encoding: chunked
30、 Vary: WEB 服務器用該頭部的內容告訴 Cache 服務器,在什麼條件下才能用本響應所返回的對象響應後續的請求。假如源 WEB 服務器在接到第一個請求消息時,其響應消息的頭部爲:Content- Encoding: gzip; Vary: Content-Encoding 那麼 Cache 服務器會分析後續請求消息的頭部,檢查其 Accept-Encoding,是否跟先前響應的 Vary 頭部值一致,即是否使用相同的內容編碼方法,這樣就可以防止 Cache 服務器用自己 Cache 裏面壓縮後的實體響應給不具備解壓能力的瀏覽器。例如:Vary:Accept-Encoding
HTTP 中的url協議
url格式爲 協議://用戶名:密碼@子域名.域名.頂級域名:端口號/目錄/文件名.文件後綴?參數=值#標誌
例如: https://www.baidu.com/baidu?wd=ctf&tn=monline_4_dg&ie=utf-8
參數之間用’&‘進行分割
文件名與參數間用’?‘分割
參數和值之間用’='連接
利用%進行轉碼 ‘#’=%23 ‘&’=%26 ‘=’=%3D
字符以ascii碼型式顯示
關於url編碼格式
utf-8
UTF-8(8-bit Unicode Transformation Format)是一種針對Unicode的可變長度字符編碼,又稱萬國碼,由Ken Thompson於1992年創建。現在已經標準化爲RFC 3629。UTF-8用1到6個字節編碼Unicode字符。
urlencoding
URL encoding(URL編碼),也稱作百分號編碼(Percent-encoding),是指特定上下文的統一資源定位符(URL)編碼機制
編碼原理:
將需要轉碼的字符轉爲16進制,然後從右到左,取4位(不足4位直接處理),每2位做一位,前面加上%,編碼成%XY格式
url同源策略
瀏覽器設置裏,默認情況下只有同源的內容才能相互操作
相同的協議
http,https,ftp等協議,協議必須是相同的
相同域名
主機域名
相同端口
只有上述三者相同即爲同源,只有同源之間能通過JavaScript訪問對方的內容