HTTP头注入

HTTP Header概述

HTTP报文类型

• 请求报文：由客户端发送给服务器的消息，其组成包括请求行，请求头和请求体。
• 响应报文：由服务器回复给客户端的消息，其组成包括状态行，响应头，和响应体。

HTTP请求方法

GET：请求指定的页面信息，并返回实体主体。
HEAD：类似于GET请求，只不过返回的响应中没有具体的内容，用于获取报头。
POST：向指定资源提交数据进行处理请求（例如提交表单或者上传文件）。数据被包含在请求体中。POST请求可能会导致新的资源的建立或已有资源的修改。
PUT：从客户端向服务器传送的数据取代指定的文档内容。
DELETE：请求服务器删除指定的页面。
CONNECT ：HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。OPTIONS允许客户端查看服务器的性能。
TRACE：回显服务器收到的请求，主要用于测试或诊断。
PATCH：是对PUT方法的补充，用来对已知资源进行局部更新。

HTTP Header内容

• User-Agent：使服务器能够识别客户端使用的浏览器和操作系统，浏览器版本等（很多数据量大的网站记录客户使用的操作系统和或者浏览器版本等存入数据库中）
• Cookie：网站为了辨别用户身份、进行session跟踪而存储在用户本地终端上的数据。（通常都是加密过的）
• Host：客户端指定自己想访问的Web服务器的域名/IP和端口号。
• X-Forward-For：简称XFF头，代表客户端（HTTP请求端）的真实IP（通常一些网站的防注入功能会记录请求端的真实IP地址并且写入数据库或者是记录：某个文件[通过XFF头可以实现伪造IP]）。
• Client-IP：原理同XFF。
• Referer：浏览器向We