Web安全—HTTP/HTTPS协议

一，http协议
超文本传输协议（英语：HyperText Transfer Protocol），缩写为HTTP，它是一种用于分布式、协作式和超媒体信息系统的应用层协议，是万维网的数据通信的基础，也是互联网应用最为广泛的一种网络传输协议。最初设计HTTP的目的是为了提供一种发布和接收HTML页面的方法。
二，http历史
(1)HTTP/0.9：不涉及数据包传输，规定客户端和服务器之间通信格式，只能GET请求(1991)。
(2)HTTP/1.0：传输内容格式不限制，增加PUT,PATCH,HEAD,OPTIONS,DELETE命(1996)。
(3)HTTP/1.1：持久链接(长连接)，节约带宽，HOST域，管道机制，分块传输编码(1997)。
(4)HTTP/2.0：多路复用，服务器推送，头信息压缩，二进制协议 (2015)。
三，http工作流程
A，客户端通过TCP三次握手与服务器建立连接。
B，TCP建立成功连接后，向服务器发送HTTP请求。
C，服务器接收到HTTP请求后，向客户端发送http响应。
D，客户端通过TCP四次断开，与服务器断开TCP连接。
四，B/S,C/S架构
—B/S(Browser/Server)浏览器和服务器结构；
—C/S(Client/Server)客户机和服务器结构。
五，http消息结构
1,统一资源定位符(URL)
统一资源定位符，又叫URL（Uniform Resource Locator），是专为标识Internet网上资源位置而设置的一种编址方式，我们平时所说的网页地址指的即是URL。
(1)、第一部分 模式/协议：它告诉浏览器如何处理将要打开的文件。最常用的协议是超文本传输协议（Hypertext Transfer Protocol，缩写HTTP），这个协议可以用来访问网络。其他协议如下： http——超文本传输协议 https——用安全套接字层传送的超文本传输协议 ftp——文件传输协议 mailto——电子邮件地址
ldap——轻型目录访问协议
file——当地电脑或网上分享的文件
news——Usenet新闻组
gopher——Gopher协议
telnet——Telnet协议
(2)、第二部分 文件所在的服务器的名称或IP地址，后面是到达这个文件的路径和文件本身的名称。
服务器的名称或IP地址后面有时还跟一个冒号和一个端口号。 它也可以包含接触服务器必须的用户名称和密码。 路径部分包含等级结构的路径定义，一般来说不同部分之间以斜线（"/"）分割。
询问部分一般用来传送对服务器上的数据库进行动态询问时所需要的参数。
2，统一资源标志符(URI)
用于唯一地标识元素或属性的数字或名称。URI 包括统一资源名称 (URN) 和统一资源定位器 (URL)。
URI可被视为定位符（URL），名称（URN）或两者兼备。统一资源名（URN）如同一个人的名称，而统一资源定位符（URL）代表一个人的住址。换言之，URN定义某事物的身份，而URL提供查找该事物的方法。
六，http报文初识
A，请求报文(web客户端向服务器发送的请求)
B，响应报文(服务器发送回客户端的报文)
七，http报文格式
http请求：
1，第一行为"请求行";
2，第2，3，4行为"请求头部";
请求头部由“关键字：值”组成，每行一堆，之间的"冒号"是英文的。
3，第五行为空行;
4，第六行为"请求正文";
http响应：
1，第一行“状态行”
分别为：协议版本，状态码，状态码描述，之间用空格隔开，
2，响应头部与请求头部类似，包含了许多重要的信息。
3，空行，这一行非常重要，标识响应头部结束。
4，响应正文，服务器返回的文档吗，最常见的为HTML网页
八，http请求头字段

头部字段
九，https协议
HTTPS （全称：Hyper Text Transfer Protocol over SecureSocket Layer），是以安全为目标的 HTTP 通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS 在HTTP 的基础下加入SSL 层，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层（在 HTTP与 TCP 之间）。这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安全敏感的通讯，例如交易支付等方面