目录
构成和分类
HTTP消息由四部分构成:请求行、请求头(请求报头)、响应行、响应头(响应报头)、空行和消息体(实体正文)。
1. 请求行:包含了HTTP请求的方法、URL和协议版本。格式为:请求方法 URL 协议版本。例如:GET /index.html HTTP/1.1。
2. 请求头(请求报头):包含了客户端向服务器发送的附加信息和请求参数。每个请求头字段由一个字段名和一个字段值组成,用冒号分隔。常见的请求头包括Host、User-Agent、Referer、Cookie等。
3. 响应行:包含了服务器对请求的响应状态和协议版本。格式为:协议版本 状态码 状态描述。例如:HTTP/1.1 200 OK。
4. 响应头(响应报头):包含了服务器返回的附加信息和响应参数。每个响应头字段由一个字段名和一个字段值组成,用冒号分隔。常见的响应头包括Server、Content-Type、Content-Length、Set-Cookie等。
5. 空行:请求头和响应头之后是一个空行,用于表示头部信息的结束。空行之后是可选的消息体。
6. 消息体(实体正文):包含了请求或响应的实际内容。在请求中,消息体通常包含了提交的数据(例如表单数据、JSON数据等)。在响应中,消息体通常包含了服务器返回的实际数据(例如HTML页面、JSON数据等)。
普通头指的是除了请求头和响应头之外的其他头部信息。实际上,普通头并不是HTTP消息的一部分,它是指除了请求头和响应头之外的其他自定义头部字段。普通头可以用于传递一些自定义的元数据或其他相关信息。
1.请求头
1. Host:Host请求报头域用于指定请求的目标主机和端口号。它在HTTP/1.1中是一个必需的字段,用于告知服务器请求的目标位置。
2. User-Agent:User-Agent请求报头域允许客户端向服务器发送关于自身身份的信息,通常包括操作系统、浏览器和其它属性。服务器可以使用这个信息来针对不同的客户端提供不同的内容或处理逻辑。
3. Referer:Referer请求报头域包含了当前请求页面的来源URL,即用户是从哪个页面跳转或链接过来的。服务器可以利用这个字段来获取引荐信息,用于统计、日志记录或处理跳转逻辑等。
4. Cookie:Cookie请求报头域用于在客户端和服务器之间传递会话标识和其他用户相关的信息。当客户端发送请求时,会将之前从服务器接收到的Cookie值包含在请求头中,以便服务器识别和验证用户状态。
5. Range:Range请求报头域允许客户端请求服务器返回实体的部分内容,用于支持断点续传或多线程下载等场景。客户端可以指定字节范围,服务器则返回相应的部分内容。
6. X-Forwarded-For:X-Forwarded-For(XXF)请求报头域用于指示请求经过的代理服务器或负载均衡器的IP地址。每个代理服务器都会将自己的IP地址添加到该字段中,以便服务器了解请求的真实来源。
7. Accept:Accept请求报头域用于指定客户端可以接受的媒体类型(MIME类型)。客户端可以使用这个字段告知服务器它能够处理的内容类型,服务器则可以根据这个信息选择合适的响应内容进行返回。
8. Accept-Charset:Accept-Charset请求报头域用于指定客户端能够接受的字符集编码。服务器可以使用这个字段来确定合适的字符集对响应内容进行编码,以便客户端正确解析和显示文本内容。例如,Accept-Charset: gb2312表示客户端可以接受使用GB2312字符集编码的内容。
2.相应头
1. Server:
Server响应头字段指示服务器所使用的Web服务器软件的名称和版本号。例如,Server: Apache/2.4.18 (Unix)表示服务器正在使用Apache 2.4.18版本。这个信息可能被攻击者用于针对已知的Web服务器漏洞进行攻击,因此有时候建议在服务器端修改这个头信息,以减少潜在的攻击风险。
2. Set-Cookie:
Set-Cookie响应头字段用于向客户端设置Cookie。服务器可以通过这个头字段发送Cookie信息给客户端,客户端会在后续的请求中包含这些Cookie值。通过检查Set-Cookie头字段,可以查看服务器向客户端发送的Cookie信息。
3. Last-Modified:
Last-Modified响应头字段是服务器告知浏览器资源的最后修改时间。当浏览器请求某个资源时,服务器会将该资源的最后修改时间包含在Last-Modified头字段中。浏览器可以使用这个信息来判断是否需要重新请求该资源,以减少无效的资源传输。
4. Location:
Location响应头字段通常与重定向相关。当服务器返回带有302状态码(临时重定向)或301状态码(永久重定向)时,会在响应头中包含Location字段,指示浏览器去访问的新的URL。浏览器接收到这个响应后,会自动跳转到Location指定的URL。
5. Refresh:
Refresh响应头字段用于指定浏览器自动刷新页面的时间间隔。当服务器返回带有Refresh头字段的响应时,浏览器会在指定的时间间隔后自动刷新页面。例如,Refresh: 5表示浏览器将在5秒后刷新页面。这个头字段已经不常用,因为通常使用更先进的技术(如JavaScript)来实现页面刷新和定时更新的功能。
3.实体头
实体头参数(请求和响应)
1. Content-Type:用于指示实体正文的媒体类型(MIME类型)。它告诉接收方如何解析和处理实体的内容。例如,Content-Type: text/html表示实体正文是HTML文本。
2. Content-Encoding:用作媒体类型的修饰符,指示已应用于实体正文的附加内容的编码方式。它告诉接收方如何解码实体的内容。常见的值包括gzip、deflate等。例如,Content-Encoding: gzip表示实体正文已经使用gzip压缩。
3. Content-Length:指示实体正文的长度,以字节为单位的十进制数字表示。它告诉接收方实体正文的大小,以便正确读取和处理实体内容。
4. Last-Modified:指示资源的最后修改日期和时间。它告诉接收方资源的最后更新时间,用于缓存控制和条件请求。
4.危险的HTTP头参数:
1. User-Agent:User-Agent请求头可以被用于识别和追踪客户端的操作系统、浏览器和其他属性。在某些情况下,恶意用户可以伪造User-Agent头来隐藏其真实身份或进行攻击。
2. X-Forwarded-For:X-Forwarded-For头用于指示请求的真实客户端IP地址,通常在代理服务器或负载均衡器之间使用。然而,攻击者可以修改或伪造X-Forwarded-For头来欺骗服务器,从而进行IP欺骗或绕过某些安全措施。
3. Referer:Referer头包含了当前请求的来源URL,攻击者可以通过修改Referer头来进行欺骗、钓鱼或泄露敏感信息。
4. Cookie:Cookie头用于在客户端和服务器之间传递会话标识和其他用户相关的信息。恶意用户可以修改Cookie头来进行会话劫持、伪造身份或其他攻击。保护Cookie的安全性非常重要。
总结
这些字段在HTTP请求和响应中起到了关键的作用,用于传递控制信息、数据类型、缓存策略、认证信息等,从而实现客户端和服务器之间的有效通信和数据交互。
920
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
