【网络安全 网络协议】一文讲清HTTP协议

最新推荐文章于 2025-08-02 17:35:43 发布
最新推荐文章于 2025-08-02 17:35:43 发布
阅读量1k 收藏 14
点赞数 8
CC 4.0 BY-SA版权
分类专栏: 程序员 文章标签: 网络协议 web安全 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_84969746/article/details/138796732

请求方法是在进行网络通信时,客户端向服务器发送请求的方式。

常见的请求方法有以下几种:

  1. GET:用于请求获取服务器上的资源,可以在请求中附加参数。一般用于获取数据。
  2. POST:用于向服务器提交数据,比如表单数据、上传文件等。
  3. PUT:用于向服务器上传或更新资源,通常需要提供完整的资源信息。
  4. DELETE:用于删除服务器上的资源。
  5. PATCH:用于对服务器上的资源进行部分更新。
  6. HEAD:类似于GET请求,但只返回响应头部信息,不返回实际内容。
  7. OPTIONS:用于获取目标资源支持的请求方法列表。

在提交如"ice"、"Sec"等不可识别的方法时,部分服务器支持以GET方法返回,即默认GET。

请求资源路径是指客户端在向服务器发起HTTP请求时,指定所要访问的资源在服务器上的路径信息。请求方法与URI之间通常以一个空格分隔。

为了在同一个服务器上的不同资源之间相互引用时简化URL的书写,并且避免需要在每个资源链接中都包含完整的URL,请求行中的资源路径为相对路径。

在本例中,请求的资源路径为:

/2301_77485708/article/details/136169661?spm=1001.2014.3001.5501

浏览器会将HOST与该路径自动填充,从而构建完整的URL进行请求。

出于跨平台兼容性等方面的考虑,换行符"\r\n"(回车符+换行符)被用作报文头部和报文主体之间以及各个字段之间的分隔符。
请求头

请求头(Headers)用于携带关于请求或响应的元数据信息。

  1. Accept:指定客户端能够处理的媒体类型,用于请求中。
  2. Content-Type:指定请求或响应中的实体的媒体类型。
  3. User-Agent:标识客户端的应用程序、操作系统和版本信息。
  4. Host:指定服务器的主机名和端口号。
  5. Cookie:包含在请求中发送的Cookie信息。
  6. Referer:指示请求来源页面的URL。
  7. Location:指定重定向的目标URL。
  8. Content-Length:指定请求或响应正文的长度(以字节为单位)。
  9. Content-Encoding:指定响应正文的编码方式,如gzip或deflate。

在本例中:

  1. Host: blog.youkuaiyun.com
    • 指定请求的目标主机,即要访问的服务器地址为blog.youkuaiyun.com。
  2. Cookie: ICE
    • 包含用户身份验证或其他相关信息。
  3. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/118.0
    • User-Agent字段包含了发送请求的客户端应用程序和操作系统的详细信息
  4. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,/;q=0.8
    • 表示客户端能够接受的媒体类型,优先顺序为text/html、application/xhtml+xml等。
  5. Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
    • 指定客户端接受的自然语言及其优先级,表示首选中文(中国)、次选中文(通用)等。
  6. Accept-Encoding: gzip, deflate, br
    • 表示客户端支持的内容编码方式,包括gzip、deflate和br(Brotli)。
  7. Referer: https://blog.youkuaiyun.com/2301_77485708/
    • 指示该请求来源页面的URL,即当前请求是从https://blog.youkuaiyun.com/2301_77485708/页面发起的。
请求体

请求体(Request Body)是客户端发起POST、PUT等请求时发送给服务器的数据部分。

请求体中包含客户端想要提交给服务器的数据,以表单、JSON、XML、二进制数据等格式存在。在POST请求中,请求体通常包含了表单数据或上传的文件;在PUT请求中,请求体通常包含了要更新的资源信息;在DELETE、GET请求中,请求体通常为空。

在下图的POST请求包中,存在请求体:

在这里插入图片描述

表示提交的ice.txt文件的内容为ice。

同时由上图可以看到,该POST上传格式为multipart/form-data,其有利于传输多个字段的数据。

Content-Type: multipart/form-data; boundary=---------------------------31280281959535052723427005512


-----------------------------31280281959535052723427005512
Content-Disposition: form-data; name="MAX_FILE_SIZE"

100000
-----------------------------31280281959535052723427005512
Content-Disposition: form-data; name="uploaded"; filename="ice.txt"
Content-Type: text/plain

ice
-----------------------------31280281959535052723427005512
Content-Disposition: form-data; name="Upload"

Upload
-----------------------------31280281959535052723427005512--

特殊的是,Content-Type中存在boundary,其定义了请求体中的分界线,使各部分数据相互独立互不干扰。若数据块中存在**filename=**字段,则表示上传文件,否则为POST参数。

请求差异及参数说明

POST请求头比GET请求头多引入了两个字段:Content-Length、Content-Type,分别指定请求体的长度及请求体内容类型。

在参数上,需要谨记的是:GET、POST参数的定义取决于参数所处位置。POST请求中,GET参数仍然存在于请求行中。

简单例题参考:https://blog.youkuaiyun.com/2301_77485708/article/details/130786891

在这里插入图片描述

响应结构

如图为HTTP响应的完整结构(以POST请求为例)

HTTP/1.1 200 OK
Server: nginx/1.15.11
Date: Mon, 19 Feb 2024 13:37:27 GMT
Content-Type: text/html;charset=utf-8
Connection: close
X-Powered-By: PHP/7.3.4
Pragma: no-cache
Cache-Control: no-cache, must-revalidate
Expires: Tue, 23 Jun 2009 12:00:00 GMT
Content-Length: 4134

<!DOCTYPE html>

<html lang="en-GB">

	<head>
		<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />

		<title>Vulnerability: File Upload :: Damn Vulnerable Web Application (DVWA)</title>

		<link rel="stylesheet" type="text/css" href="../../dvwa/css/main.css" />

	</head>

</html>

在这里插入图片描述

状态行
HTTP/1.1 200 OK

响应结构中首行称为状态行,包括三个部分,分别是HTTP版本、状态码和状态消息。

  1. HTTP版本:指定使用的HTTP协议版本,例如HTTP/1.0、HTTP/1.1、HTTP/2等。
  2. 状态码(status code):指示对请求的处理结果,通常是一个3位数字,例如200表示成功,404表示未找到请求的资源等。
  3. 状态消息(reason phrase):对状态码的简要描述,通常是一个文本字符串,例如"OK"、"Not Found"等。状态消息不是HTTP协议必需的,但是它可以提供更多的信息。

附上状态码说明:

  • 1xx(信息性状态码):表示接收到请求并且正在处理。
    • 100 Continue: 继续。服务器已经接收到请求头,客户端应该继续发送请求体。
    • 101 Switching Protocols: 切换协议。服务器要求客户端切换协议,例如从HTTP协议切换到WebSocket协议。
  • 2xx(成功状态码):表示请求已成功处理。
    • 200 OK: 请求成功。服务器成功处理了请求。
    • 201 Created: 已创建。请求成功,并且服务器创建了新的资源。
    • 204 No Content: 无内容。服务器成功处理了请求,但没有返回任何内容。
  • 3xx(重定向状态码):表示需要进一步的操作来完成请求。
    • 301 Moved Permanently: 永久重定向。请求的资源已被永久移动到新位置。
    • 302 Found: 临时重定向。请求的资源暂时移动到新位置。
    • 304 Not Modified: 未修改。客户端发送了一个条件请求,服务器确认资源未被修改。
  • 4xx(客户端错误状态码):表示请求包含语法错误或无法完成请求。
    • 400 Bad Request: 错误的请求。服务器无法理解请求的语法。
    • 401 Unauthorized: 未授权。需要身份验证才能访问资源。
    • 404 Not Found: 未找到。请求的资源不存在。
  • 5xx(服务器错误状态码):表示服务器在处理请求时发生了错误。
    • 500 Internal Server Error: 内部服务器错误。服务器遇到了意外错误,无法完成请求。
    • 503 Service Unavailable: 服务不可用。服务器暂时无法处理请求,通常是因为过载或维护。
响应头

响应头用于提供关于响应的元数据和控制。

Content-Type:指定响应主体的媒体类型。

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

715572921615)]

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

网络安全一文讲清Zero Trust(零信任)安全
等风来
10-26 3614
Zero Trust 安全是一种 IT 安全模型,要求试图访问专用网络上资源的每一个人和每一台设备(无论位于网络边界之内还是之外)都必须进行严格的身份验证。ZTNA是与 Zero Trust 架构相关的主要技术,但 Zero Trust 是一种全面的网络安全方法,它融合了几种不同的原理和技术。更简单地说:传统的 IT 网络安全信任网络内的所有人和设备。Zero Trust 架构不信任任何人和物。传统 IT 网络安全是基于城堡加护城河的概念。
一文讲清http代理的cookie问题
zhengkun51的博客
12-01 4708
http使用cookie HTTP请求,Cookie的使用过程 1、server通过HTTP Response中的"Set-Cookie: header"把cookie发送给client 2、client把cookie通过HTTP Request 中的“Cookie: header”发送给server 3、每次HTTP请求,Cookie都会被发送。 http请求发送cookies的条件: 1、本地已经缓存有cookies 2、根据请求的URL来匹配cookies的domain、path属性,如果都符合才会发
网络安全 | 网络协议一文讲清HTTP协议
热门推荐
等风来
02-19 1万+
它是Web应用程序通信的基础,通过HTTP协议Web浏览器可以向Web服务器发起请求,并接收来自Web服务器的响应,从而实现Web页面的访问和数据传输。HTTP协议包含了HTTP请求和HTTP响应两个部分,其中HTTP请求由请求行、请求头和请求体组成;为了在同一个服务器上的不同资源之间相互引用时简化URL的书写,并且避免需要在每个资源链接中都包含完整的URL,请求行中的资源路径为相对路径。HTTP请求中的首行称为请求行,其包括三个部分:请求方法、请求的资源路径和使用的协议版本。
网络安全 网络协议一文讲清HTTP协议(1)
2401_84969722的博客
05-13 723
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
一文讲清SSL协议
you are sherlocked by me!
10-15 5013
OSI七层模型 计算机网络的OSI七层模型和TCP/IP四层模型想必大家都知道。其中SSL/TLS是一种介与于传输层(比如TCP/IP)和应用层(比如HTTP)的协议。它通过"握手协议(Handshake Protocol)"和"传输协议(Record Protocol)"来解决传输安全的问题。SSL/TLS是一个可选层,没有它,使用HTTP也可以通信,它存在的目的就是为了解决安全问题,这也就是HTTPS相对于HTTP的精髓所在 SSL协议 SSL(Secure Sockets Layer)最初由N
2024最新版漏洞挖掘教程,一文讲清挖漏洞需要掌握哪些技术,网络安全零基础入门到精通收藏这篇就够了!
wholeliubei的博客
11-25 1389
经常有小伙伴问我,为什么自己总是挖不到漏洞呢?渗透到底是什么样的流程呢?全篇文章内容较长,请耐心观看!渗透测试其实就是通过一些手段来找到网站,APP,网络服务,软件,服务器等网络设备和应用的漏洞,告诉管理员有哪些漏洞,怎么填补,从而防止黑客的入侵。
U盾服务器是什么?一文讲清
复园科技的博客
06-25 740
企业U盾数量激增带来管理难题,朝天椒U盾服务器通过硬件虚拟化技术实现集中管理。其核心创新包括:硬件虚拟化架构、远程触发U盾按键功能、集群化扩展能力;具备金融级可靠性、多重安全防护和显著效率提升;适用于银企直连、集团管控等场景。该方案通过物理集中和操作虚拟化重构U盾管理模式,正成为企业数字化转型的重要基础设施,推动资金管理向智能化发展。
网络安全必看!万字总结安卓app抓包教程,完整流程一文讲清,黑客技术零基础入门到精通教程!
白帽阿叁的博客
08-01 612
这里简单记录一下相关抓包工具证书的安装。抓包工具有burpsuite,fiddler,charles等burpsuite适合渗透测试,charles适合开发者分析调试app,fiddler个人认为适合app的逻辑功能的测试(逻辑漏洞挖掘)如果没有任何检测,我们通过wifi代理就可以结合抓包工具抓包了。如果存在系统代理检测,可以尝试使用vpn软件(postern等)绕过,或者使用proxifer抓取模拟器进程在模拟器外部实现流量代理。
2025最新版漏洞挖掘教程,一文讲清挖漏洞需要掌握哪些技术,网络安全零基础入门到精通收藏这篇就够了!
qq_41314882的博客
01-06 1578
经常有小伙伴问我,为什么自己总是挖不到漏洞呢?渗透到底是什么样的流程呢?全篇文章内容较长,请耐心观看!渗透测试其实就是通过一些手段来找到网站,APP,网络服务,软件,服务器等网络设备和应用的漏洞,告诉管理员有哪些漏洞,怎么填补,从而防止黑客的入侵。
隐私计算迎来千亿级风口,一文讲清它的技术理论基础。
等风来
11-21 7433
在讨论安全多方计算(下文使用 MPC) 之前,我们先讨论安全多方计算的设定,在MPC 的所有参与者中,某些参与者可能会被一个敌手 (攻击者) 控制,在敌手控制下的参与者被称为被腐化方,它在协议执行过程中会遵循敌手的指令对协议进行攻击。一个安全协议应经得起任何敌手的攻击。为了正式描述和证明一个协议是“安全”的,我们需要对MPC的安全性进行精准定义。安全多方计算的安全性规范是通过一种理想世界/现实世界的范式 (Ideal/Real Paradigm)来定义的。在理想世界中,存在一个可信的第三方 (Truste
一文讲清TYPE C和USB
oqqdake12的博客
10-11 7269
全面厘清USB 各种标准、TYPE C和USB的关系、USB PD的原理。
一文讲清微服务架构、分布式架构、微服务、SOA_分布式架构与soa架构与微服务的区别
2401_84263208的博客
04-18 1522
中级架构,分布式应用,中间层分布式+数据库分布式,是单体架构的并发扩展,将一个大的系统划分为多个业务模块,业务模块分别部署在不同的服务器上,各个业务模块之间通过接口进行数据交互。**2.微服务架构:**其实和 SOA 架构类似,微服务是在 SOA 上做的升华,微服务架构强调的一个重点是“业务需要彻底的组件化和服务化”,原有的单个业务系统会拆分为多个可以独立开发、设计、运行的小应用。而且,它可以标准化,同样的容器不管在哪里运行,结果都是一样的,所以市场上有很多 SaaS 产品,提供标准化的微服务。
计算机网络中的socket是什么?编程语言中的socket编程又是什么?python的socket编程又该如何用?
一念的博客
07-31 1014
本文介绍了计算机网络中的Socket概念及其在编程中的应用。Socket是网络通信的端点,由IP地址、端口号和协议组成,类似于电话系统中的插座。通过Python的socket模块,可以实现TCP(面向连接)和UDP(无连接)两种通信方式。TCP示例展示了服务器与客户端建立连接、收发数据的过程,而UDP示例则演示了无需连接直接发送数据报的方法。文章还总结了Python Socket编程的关键步骤,包括创建Socket、绑定地址、建立连接和数据传输等操作要点。
WebSocket断线重连机制:保障实时通信的高可用性
最新发布
2401_82591622的博客
08-02 1092
​​速度​​(快速恢复) vs ​​节制​​(避免压垮服务端)​​通用性​​(覆盖多场景) vs ​​定制化​​(适配业务需求)​​自动化​​(无缝恢复) vs ​​可控性​​(允许用户干预)​​终极建议​关键系统采用​​双心跳​​(协议层+应用层)结合​​指数退避​​ + ​​网络状态监听​​服务端实现​​会话无感迁移​​(如Redis存储Session)正如分布式系统名言:“不是考虑连接会不会断,而是何时断健壮的重连机制,正是实时应用的“生命线”。
Linux网络编程【基于UDP网络通信的字典翻译服务】
2301_80221228的博客
08-02 775
本文设计了一个基于UDP协议的字典翻译服务系统,通过模块化解耦实现网络通信与业务处理的分离。系统主要由三部分组成:1)网络通信模块,负责UDP数据传输;2)字典翻译模块,使用哈希表存储单词映射并实现翻译功能;3)客户端信息处理模块,封装IP和端口号信息。服务器端采用回调机制将接收到的单词交给字典模块翻译,同时记录客户端地址信息,实现了模块间的低耦合。测试结果表明,系统能成功完成英汉单词翻译,并记录请求来源的IP和端口号。这种设计提高了代码的可维护性和扩展性,为后续功能扩展奠定了基础。
计算机网络学习--------三次握手与四次挥手
shouxifeiwu的博客
07-31 1219
由于 TCP 连接是全双工的,双方可以同时发送数据,所以关闭连接时需要双方分别确认,通过四次数据包交互,逐步关闭各自的发送通道,最终释放连接所占用的资源。(3)第三次握手:客户端收到 SYN+ACK 报文后,发送一个 ACK 报文段,ACK 标志位设为 1,确认号为服务器初始序列号 + 1,表示已收到服务器的 SYN 报文。计算机网络:TCP 的三次握手与四次挥手(基于 Java)​在计算机网络的世界里,TCP(传输控制协议)犹如一位严谨的通信管家,确保数据在网络中可靠传输。
socket编程-UDP(2)-设计翻译系统
Mr_Xuhhh的博客
08-01 275
实现一个简单的英译汉的网络字典。
Linux网络编程:UDP 的echo server
htw250056的博客
07-31 803
本文介绍了如何使用UDP协议实现简单的服务端与客户端通信。首先讲解了服务端实现步骤:创建socket套接字、绑定地址信息,以及启动循环接收消息并回显的echo服务。客户端实现类似,但不需要显式bind,而是由系统自动分配端口。代码展示了完整的UDP通信流程,包括socket创建、地址绑定、数据收发等核心操作,并提供了日志记录和错误处理。通过这个示例,读者可以初步了解网络编程的基本模式,为后续深入学习更复杂的网络协议和应用打下基础。
Linux网络编程【UDP网络通信demon】
2301_80221228的博客
08-02 791
摘要:本文介绍了基于UDP协议的网络通信实现,包括服务器端和客户端的设计。服务器端通过socket()创建套接字,使用bind()绑定端口和IP地址(推荐使用INADDR_ANY实现多IP绑定),并通过recvfrom()和sendto()实现消息收发。客户端无需显式绑定端口,系统会自动分配随机端口以避免冲突。文章还讨论了本地环回测试和绑定任意IP(INADDR_ANY)的重要性,并提供了完整的代码实现,包括server.hpp、server.cc、client.cc和Makefile。
网络协议逆向解析技术前沿论文汇编
网络协议逆向解析是网络安全领域的一项重要技术,它涉及分析和理解网络传输数据的格式和含义,目的是为了确保网络通信的安全性、稳定性和互操作性。网络协议逆向解析可以应用于多种场景,如入侵检测、恶意软件分析、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值