Web安全你了解多少（二）- HTTP基础&安全溯源

• Web安全你了解多少（一）- 搭建一个django网站

协议基础

HTTP定义了客户端如何从Web服务器请求Web页面，以及Web服务器如何把Web页面传送给客户端

1.客户端连接到Web服务器2.发送HTTP请求通过TCP套接字，向Web服务器发送文本请求报文，一个请求报文由请求行、请求头部、空行和请求数据4部分组成3.服务器接收请求并返回HTTP响应Web服务器解析请求，定位请求资源，将资源副本写到TCP套接字，由客户端读取一个完整的响应 由状态行、响应头部、空行（请求空行）和响应数据（请求体）4部分组成4.释放TCP连接返回响应之后，服务器检测connection状态，若connection模式为close，则服务器主动关闭TCP连接，客户端被动关闭连接，释放TCP连接若connection模式为keepalive，则该连接会保持一段时间，在该时间内可以继续接收请求5.客户端浏览器解析HTML内容HTTP协议的组成结构

• 请求方法GET POST ， DELETE HEAD OPTIONS PUT TRACE* GET/POST* 从参数传递方面来看GET直接拼接URL，POST参数是放在请求体里面* 从长度限制角度来讲GET一般不超过1024K，POST理论上没有，但浏览器可能有自己的限制* 从安全角度来讲GET明文，安全性低但是从本质上来说，GET POST都是TCP连接，并无本质的区别。由于HTTP/浏览器的限定，导致在应用过程中体现出一些不同。GET产生一个数据包，POST产生两个数据包GET请求，浏览器会把http header 和 data一并发出去，服务器响应200（返回数据）POST, 浏览器先发送header，服务器响应100 continue，浏览器再发送data，服务器响应200 ok通过上一篇文章 Web安全你了解多少（