Web安全公开课-HTTP/Https协议介绍

【HTTP&HTTPS介绍】

HTTP简介

HTTP协议是HyperTextTransferProtocol(超文本传输协议)的缩写是用于从万维网 Ww. World Wide Web)殷务器传输超文本到本地浏览器的送协议。是基于请求与响应,无状态的,应用层的协议,常基于TCPP协议传输数据,互联网上应用最为广泛的种网络协所有的WWW文件都须遵守这个标准。
设计HTTP的初衷是为了提供一种发布和接收HTML页面的方法

HTTP历史

pass

HTTP工作流程

A客户端通过TCP三次握手与服务器建立连接。
BTCP建立连接成功后,向服务器发送HTTP请求
C服务器收到HTTP请求后,向客户端发送ht响应
D客户端通过TCP四次断开,与服务器断开TCP连接。
什么是B/S架构?什么是C/S架构?
C/S( Client/ Server)客户机和服务器结构
B/S( Browser/ Server)浏览器和服务器结构

【HTTP消息结构】

统一资源定位符(URL)

URl= Universal Resource ldentifier统一资源标志符,用来标识抽象或物理资源的一个紧凑字符串。
协议方案名:http，ftp，file，mailto……；
登录信息:如果网页需要认证时,需要填写该参数,所以是可选项。
服务器地址:可以使P地址形式,也可以是能被DNS解析为|P地址的域名形式;
端口号:指定服务器连接的端口号,也选填不墳则指冋本协议的默认端口号;
带层次的文件路径:获取资源在服务器中的具体地址;
查询字符串:针对已指定路径的资源,可使用査询字符串来获取想要的参数,
片段标识符:又名hash,来标记已获取资源中的子资源(在文档中的某个位置)

HTTP报文初识

A、请求报文(web客户端向服务器发送的请求)

请求行:由3部分组成,分别为:请求方法、URL(见备注1)以及协议版本,之间由空格分隔,请求方法包括GET、POST等。协议版本的格式为:HTTP/主版本号次版本号,常用的有HTTP/1.0和HTTP/1.1。

空行,这一行非常重要,必不可少。表示请求头部结束,下面就是请求正文
B、响应报文(服务器发送回客户端的报文)

第1行为“状态行”,第2、3、4行为“响应头部”,第5行为空行,第6行为“响应正文
状态行由由3部分组成,分别为:协议版本,状态码,状态码描述,之间由空格分隔。

【HTTP请求头字段】

HTTP请求——是指从客户端到服务器端的请求消息。包括:消息首行中，对资源的请求方法、资源的标识符及使用的协议。

请求方法

OPTIONS:返回服务器针对特定资源所支持的HTTP请求方法,也可以利用向Web服务器发送”*"的请求来测试服务器的功能性
HEAD:向服务器索要与GET请求相一致的响应,只不过响应体将不会被返回。这一方法可以在不必传输整个响应内容的情况下,就可以获取包含在响应消息头中的元信息
GET: 向特定的资源发出请求。注意:get方法不应当被用于产生“副作用”的操作中。例如在 Web App中,其中一个原因是GET可能会被网站蜘蛛等随意访问。
POST:向指定资源提交数据进行处理请求(比如提交表单或者上传文件)。数据被包含在请求体中。POST请求可能会导致新的资源的建立或已有资源的修改。
PUT:向指定资源位置上传其最新内容。
DELETE:请求服务器删除 Request-URI所标识的资源
TRACE:回显服务器收到的请求,主要用于测试或者诊断。
DNNECT:HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。
这些方法区分大小写，当所请求的资源不支持对应的请求方法时，服务器返回的状态码是405.当服务器不认识，或不支持对应的请求方法时返回的状态码是504。

头部字段

Header字段
解释

User-Agent
告诉网站服务器，访问者是通过什么工具来请求的。

X-Forwarded-For127.0.0.1(本地)
用来表示HTTP请求端真实IP,被各大HTTP代理，负载均衡等转发服务广泛使用

X-Client-IP
同X- Forwarded-For
Accept-Language
Accept-Language: en-us, en: q=0.5
用来说明访问者希望采用的语言或语言组合,这样的话用户就可以根据自己偏好的语言来定制不同的内容。

Cookie
辨认用户状态及身份的

Accept-Encoding
是浏览器发给服务器,声明浏览器支持的编码类型

Content-Type
用于表明发送数据流的类型,服务器根据编码类型使

方式,获取数据流中的数据。

Referer
当浏觉器向Me服务器发送诗求的时候,一般会蒂上Re!erer,告诉服务器该网是从哪个面面链接过来的

【HTTPS协议】

全称: HyperTextTransferProtocoloverSecureSocketLayer.,就是HTTP的安全版,再通俗点就是身披SSL外壳的HTTP。
Https是一种通过计算机网络进行安全通信的传输协议,经由HTTP进行通信,利用SSL/TLS建立全信道，加密数据包。 Https使用的主要目的是提供对网站服务器的身份认证,同时保护交换数据的隐私与完整性。

HTTPS特点

A、内容加密:采用混合加密技术,中间者无法直接查看明文内容
B、验证身份:通过证书认证客户端访问的是自己的服务器
C、保护数据完整性:防止传输的内容被中间人冒充或者篡改

HTTP状态码

当浏览者访问一个网页时，浏览者的浏览器会向网页所在服务器发出请求。当浏览器接收并显示网页前，此网页所在的服务器会返回一个包含HTTP状态码的信息头（server header）用以响应浏览器的请求。

HTTP状态码的英文为HTTP Status Code。

下面是常见的HTTP状态码：

200 - 请求成功
301 - 资源（网页等）被永久转移到其它URL
404 - 请求的资源（网页等）不存在
500 - 内部服务器错误

HTTP状态码分类

HTTP状态码由三个十进制数字组成，第一个十进制数字定义了状态码的类型，后两个数字没有分类的作用。HTTP状态码共分为5种类型：

HTTP状态码分类
分类 分类描述
1** 信息，服务器收到请求，需要请求者继续执行操作
2** 成功，操作被成功接收并处理
3** 重定向，需要进一步的操作以完成请求
4** 客户端错误，请求包含语法错误或无法完成请求
5** 服务器错误，服务器在处理请求的过程中发生了错误
HTTP状态码列表:

HTTP状态码列表

状态码 状态码英文名称 中文描述
100 Continue 继续。客户端应继续其请求
101 Switching Protocols 切换协议。服务器根据客户端的请求切换协议。只能切换到更高级的协议，例如，切换到HTTP的新版本协议
200 OK 请求成功。一般用于GET与POST请求
201 Created 已创建。成功请求并创建了新的资源
202 Accepted 已接受。已经接受请求，但未处理完成
203 Non-Authoritative Information 非授权信息。请求成功。但返回的meta信息不在原始的服务器，而是一个副本
204 No Content 无内容。服务器成功处理，但未返回内容。在未更新网页的情况下，可确保浏览器继续显示当前文档
205 Reset Content 重置内容。服务器处理成功，用户终端（例如：浏览器）应重置文档视图。可通过此返回码清除浏览器的表单域
206 Partial Content 部分内容。服务器成功处理了部分GET请求
300 Multiple Choices 多种选择。请求的资源可包括多个位置，相应可返回一个资源特征与地址的列表用于用户终端（例如：浏览器）选择
301 Moved Permanently 永久移动。请求的资源已被永久的移动到新URI，返回信息会包括新的URI，浏览器会自动定向到新URI。今后任何新的请求都应使用新的URI代替
302 Found 临时移动。与301类似。但资源只是临时被移动。客户端应继续使用原有URI
303 See Other 查看其它地址。与301类似。使用GET和POST请求查看
304 Not Modified 未修改。所请求的资源未修改，服务器返回此状态码时，不会返回任何资源。客户端通常会缓存访问过的资源，通过提供一个头信息指出客户端希望只返回在指定日期之后修改的资源
305 Use Proxy 使用代理。所请求的资源必须通过代理访问
306 Unused 已经被废弃的HTTP状态码
307 Temporary Redirect 临时重定向。与302类似。使用GET请求重定向
400 Bad Request 客户端请求的语法错误，服务器无法理解
401 Unauthorized 请求要求用户的身份认证
402 Payment Required 保留，将来使用
403 Forbidden 服务器理解请求客户端的请求，但是拒绝执行此请求
404 Not Found 服务器无法根据客户端的请求找到资源（网页）。通过此代码，网站设计人员可设置"您所请求的资源无法找到"的个性页面
405 Method Not Allowed 客户端请求中的方法被禁止
406 Not Acceptable 服务器无法根据客户端请求的内容特性完成请求
407 Proxy Authentication Required 请求要求代理的身份认证，与401类似，但请求者应当使用代理进行授权
408 Request Time-out 服务器等待客户端发送的请求时间过长，超时
409 Conflict 服务器完成客户端的 PUT 请求时可能返回此代码，服务器处理请求时发生了冲突
410 Gone 客户端请求的资源已经不存在。410不同于404，如果资源以前有现在被永久删除了可使用410代码，网站设计人员可通过301代码指定资源的新位置
411 Length Required 服务器无法处理客户端发送的不带Content-Length的请求信息
412 Precondition Failed 客户端请求信息的先决条件错误
413 Request Entity Too Large 由于请求的实体过大，服务器无法处理，因此拒绝请求。为防止客户端的连续请求，服务器可能会关闭连接。如果只是服务器暂时无法处理，则会包含一个Retry-After的响应信息
414 Request-URI Too Large 请求的URI过长（URI通常为网址），服务器无法处理
415 Unsupported Media Type 服务器无法处理请求附带的媒体格式
416 Requested range not satisfiable 客户端请求的范围无效
417 Expectation Failed 服务器无法满足Expect的请求头信息
500 Internal Server Error 服务器内部错误，无法完成请求
501 Not Implemented 服务器不支持请求的功能，无法完成请求
502 Bad Gateway 作为网关或者代理工作的服务器尝试执行请求时，从远程服务器接收到了一个无效的响应
503 Service Unavailable 由于超载或系统维护，服务器暂时的无法处理客户端的请求。延时的长度可包含在服务器的Retry-After头信息中
504 Gateway Time-out 充当网关或代理的服务器，未及时从远端服务器获取请求
505 HTTP Version not supported 服务器不支持请求的HTTP协议的版本，无法完成处理