《Web前端黑客技术解密》读书笔记-第二章 HTTP协议相关知识点记录

最新推荐文章于 2024-05-12 17:45:00 发布
最新推荐文章于 2024-05-12 17:45:00 发布
阅读量124 收藏
点赞数
分类专栏: 读书笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lynnez_dd/article/details/87745693
版权

2.3HTTP协议

参考“HTTP最强资料大全” https://segmentfault.com/a/1190000008900299

 

一、HTTP协议的方法

HTTP 协议的请求方法有:GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、CONNECT、PATCH、HEAD

HTTP 常用的请求方法:

GET - 获取资源,使用 URL 方式传递参数,大小上限为 2KB

http://www.example.com/users - 获取所有用户

 

POST - 传输资源,HTTP requestBody, 大小默认8M

http://www.example.com/users/a-unique-id - 新增用户

 

PUT - 资源更新

http://www.example.com/users/a-unique-id - 更新用户

 

DELETE - 删除资源

http://www.example.com/users/a-unique-id - 删除用户

 

GET和POST请求

1、GET和POST的区别 参考https://blog.csdn.net/alexshi5/article/details/79659486

“标准答案”:

  • GET参数通过URL传递,POST放在Request body中。
  • GET比POST更不安全,因为参数直接暴露在URL上,所以不能用来传递敏感信息。
  • GET请求只能进行url编码,而POST支持多种编码方式。
  • GET在浏览器回退时是无害的,而POST会再次提交请求。
  • GET产生的URL地址可以被Bookmark,而POST不可以。
  • GET请求会被浏览器主动cache,而POST不会,除非手动设置。
  • GET请求在URL中传送的参数是有长度限制的,而POST么有。
  • 对参数的数据类型,GET只接受ASCII字符,而POST没有限制。
  • GET请求参数会被完整保留在浏览器历史记录里,而POST中的参数不会被保留。
  • GET产生一个TCP数据包;POST产生两个TCP数据包。( 对于GET方式的请求,浏览器会把http header和data一并发送出去,服务器响应200(返回数据);但注意:并不是所有浏览器都会在POST中发送两次包,Firefox就只发送一次)

 

而对于POST,浏览器先发送header,服务器响应100 continue,浏览器再发送data,服务器响应200 ok(返回数据)。)

实质区别

HTTP是什么?HTTP是基于TCP/IP的关于数据如何在万维网中如何通信的协议。HTTP的底层是TCP/IP。所以GET和POST的底层也是TCP/IP,也就是说,GET/POST都是TCP链接。GET和POST能做的事情是一样一样的。你要给GET加上request body,给POST带上url参数,技术上是完全行的通的。

 

那么,“标准答案”里的那些区别是怎么回事?下面用场景举例说明:

 

在我大万维网世界中,TCP就像汽车,我们用TCP来运输数据,它很可靠,从来不会发生丢件少件的现象。但是如果路上跑的全是看起来一模一样的汽车,那这个世界看起来是一团混乱,送急件的汽车可能被前面满载货物的汽车拦堵在路上,整个交通系统一定会瘫痪。为了避免这种情况发生,交通规则HTTP诞生了。HTTP给汽车运输设定了好几个服务类别,有GET, POST, PUT, DELETE等等,HTTP规定,当执行GET请求的时候,要给汽车贴上GET的标签(设置method为GET),而且要求把传送的数据放在车顶上(url中)以方便记录。如果是POST请求,就要在车上贴上POST的标签,并把货物放在车厢里。当然,你也可以在GET的时候往车厢内偷偷藏点货物,但是这是很不光彩;也可以在POST的时候在车顶上也放一些数据,让人觉得傻乎乎的。HTTP只是个行为准则,而TCP才是GET和POST怎么实现的基本。

 

但是,我们只看到HTTP对GET和POST参数的传送渠道(url还是requrest body)提出了要求。“标准答案”里关于参数大小的限制又是从哪来的呢?

 

在我大万维网世界中,还有另一个重要的角色:运输公司。不同的浏览器(发起http请求)和服务器(接受http请求)就是不同的运输公司。 虽然理论上,你可以在车顶上无限的堆货物(url中无限加参数)。但是运输公司可不傻,装货和卸货也是有很大成本的,他们会限制单次运输量来控制风险,数据量太大对浏览器和服务器都是很大负担。业界不成文的规定是,(大多数)浏览器通常都会限制url长度在2K个字节,而(大多数)服务器最多处理64K大小的url。超过的部分,恕不处理。如果你用GET服务,在request body偷偷藏了数据,不同服务器的处理方式也是不同的,有些服务器会帮你卸货,读出数据,有些服务器直接忽略,所以,虽然GET可以带request body,也不能保证一定能被接收到哦。

 

好了,现在你知道,GET和POST本质上就是TCP链接,并无差别。但是由于HTTP的规定和浏览器/服务器的限制,导致他们在应用过程中体现出一些不同。

 

2、哪些请求是GET请求,哪些请求是POST请求(《Web前端黑客技术解揭秘》P89)

GET请求:HTML中能够设置src/href(链接地址)属性的标签(<img>、<iink>、<iframe>等,通过JS创建img、link、iframe、script等标签对象,然后将它们的src或href属性指向目标地址【《Web前端黑客技术解揭秘》P30】)、JavaScript动态生成的标签、CSS对象发起的GET请求

POST请求:只有form提交时是发起POST请求(【《Web前端黑客技术解揭秘》P30】①通过XHR对象模拟表单提交②form表单自提交:通过JS动态创建一个form对象,并设置好form中的每个input值,然后对form对象做submit()操作即可)

 

 

 

 

二、http报文

http-only字段为1表示存在于http层面,不能被客户端脚本读取,可以有效防止xss

樱桃小丸丸纸
关注
专栏目录
信息系统项目管理师第四版知识摘编:第2章 信息技术发展
Programming Talk
03-22 2118
当前,深度学习技术是自然语言处理的重要技术支撑,在自然语言处理中需应用深度学习模型,如卷积神经网络、循环神经网络等,通过对生成的词向狱进行学习,以宪成自然语言分类、理解的过程。从区块链的技术体系视角看,区块链基于底层的数据基础处理、管理和存储技术,以区块数据的管理、链式结构的数据、数字签名、哈希函数、默克尔树、非对称加密等,通过基于P2P网络的对称式网络,组织节点参与数据的传播和验证,每个节点均会承担网络路由、验证区块数据、传播区块数据、记录交易数据、发现新节点等功能,包含传播机制和验证机制。
《图解HTTP》读书笔记
qq_33309098的博客
01-11 825
前言 这是博文的前言,也是读书笔记的后记。本来只打算草草看看查漏补缺,但是实际上从这本书还是学到了非常多知识点,对HTTP有了比较系统的了解。 这本书本身非常可爱,图很多,有点像Head First系列的书(但是相比来说,还是HF更可爱一点)。 从这本书上,我学到了哪些呢(括号内为对应章节)? 以前不太明白的零碎的知识,比如URL&URI(1.7),网关隧道(5.2),DOM是什么(10.2.2),XML有什么好处(10.4.1); HTTPS、SSL的加密过程,如何保证密钥安全传输(7.2); H
Web前端黑客技术解密
10-30
Web前端的黑客攻防技术是一门非常新颖且有趣的黑客技术,主要包含Web前端安全的跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持这三大类,涉及的知识点涵盖信任与信任关系、Cookie安全、Flash安全、DOM渲染、字符集、跨域、原生态攻击、高级钓鱼、蠕虫思想等,这些都是研究前端安全的人必备的知识点。本书作者深入剖析了许多经典的攻防技巧,并给出了许多独到的安全见解。 本书适合前端工程师阅读,同时也适合对Web前端各类安全问题或黑客攻防过程充满好奇的读者阅读,书中的内容可以让读者重新认识到Web的危险,并知道该如何去保护自己以免受黑客的攻击。
Web爆破攻击实战】Web前端黑客技术解密
Innocence_0的博客
03-07 220
Web爆破攻击实战】Web前端黑客技术解密
Web前端--黑客技术揭秘(菜鸟知识)
ljiechang的专栏
06-03 7196
一,Web安全的关键点 1.同源策略是众多安全策略的一个,是Web层面上的策略,非常重要。 2.同源策略规定:不同域的客户端脚本在没明确授权的情况下,不能读写对方的资源。 3.同域要求两个站点同协议,同域名,同端口。 4.当然,在同一个域内,客户端脚本可以任意读写同源内的资源,前提是这个资源本身是可读可写的。 5.安全类似木桶原理,短的那块板决定了木桶实际能装多少水。一个Web服务器,r
Web前端黑客技术揭秘 笔记1
wcc526的专栏
10-28 1509
一.URL编码方式       编码escape 解码 unescape       编码encodeURI 解码decodeURI       编码encodeURIComponent 解码decodeURIComponent
web前端黑客技术揭秘-记录一些自己不懂的知识点
m2a3181的博客
07-24 497
第一章web安全得关键点 简单的xss攻击,原来没见过这种方式,记录一下 跨域访问资源 自己理解的是当www.evil.com的脚本想要访问www.foo.com网站的资源时,这时因为是跨域,所以浏览器先发送一个请求到www.foo.com这个网站,询问这个网站是否同意我的跨域请求访问,在请求的字段里会加上一个origin来表名自己的身份 当www.foo.com收到发来的请求后,会返回一个响应包,里面包含一个字段是Access-Control-Allow-Origin。如果www.evil.com在该字段
Web前端黑客技术解密读书笔记-第二章 cookie安全相关知识点记录
lynnez_dd的博客
02-20 151
2.5.4 cookie安全(《web前端黑客技术解密》P40) 一、cookie简记: (一)、浏览器允许每个域名所包含的cookie数:   Microsoft指出InternetExplorer8增加cookie限制为每个域名50个,但IE7似乎也允许每个域名50个cookie。   Firefox每个域名cookie限制为50个。   Opera每个域名cookie限制为30个。...
HTTP协议学习笔记(二)
郑浩强的博客
04-18 384
确保Web安全的HTTPS在HTTP协议中可能存在信息窃听或身份伪装等安全问题,使用HTTPS通信机制可以有效地防止这些问题。HTTP的缺点:1.通信使用明文(不加密),内容可能会被窃听2.不验证通信方的身份,因此有可能遭遇伪装3.无法证明报文的完整性,所以有可能已遭篡改通信的加密通过SSL(安全套接层)或TLS(安全层传输协议)的组合使用,加密HTTP的通信内容。内容加密客户端需要对HTTP报文...
万字HTTP学习笔记
hoyiuga的博客
11-02 315
计划做得多不如极客上路 老师背景: 罗剑锋(Chrono) 前奇虎360技术专家,Nginx/OpenResty开源项目贡献者 “To Be a HTTP Hero!” 一、破冰篇 基础篇 进阶篇 安全篇 飞翔篇 探索篇 总结篇 ...
大型网站技术架构 读书笔记2 核心架构要素
热门推荐
ananhao的博客
01-03 3万+
网站架构技术的核心架构要素  本部分是本书的重点,涉及书中第3章到第8章6个章节的内容,占了全书内容的大半篇幅。其中第三章是后面五章的概述和总结,而第四到第八章则分别介绍了性能、可用性、伸缩性、扩展性和安全性这五大核心架构要素。  对于一个软件系统来说,其单一系统功能需求的实现虽然也不容易,这部分内容可以参照代码大全这本书;但其在系统中的位置及和其他模块的关系更需要注意,设计不好则会大大增加系统的复
WEB前端黑客技术揭秘》基础知识(一)
登天之路
10-25 3456
前言:基础太烂,在这做一下记录,对基础知识进行学习。 URL:统一资源定位符。 超文本传输协议(HTTP)的统一资源定位符将从因特网获取信息的五个基本元素包括在一个简单的地址中: 1、传送协议。 2、服务器。(通常为域名,有时为IP地址) 3、端口号。(以数字方式表示,若为HTTP的预设值“:80”可省略) 4、路径。(以“/”字元区别路径中的每一个目录名称) 5、查询。(GET模式
Web前端开发中的黑客技术以及安全技术(共七种)
最新发布
qkh1234567的博客
05-12 778
想当黑客?是的,基本每个程序员都有一颗相当黑客的心。从【黑客帝国】再到【欧洲攻略】,Hackers总是在黑暗中微笑,慢慢的侵蚀着互联网,侵蚀着他想要去的地方,获取别人的数据库,获取自己想要的信息,是不是帅到不讲武德。但是,我们身为公司的员工,我们有义务和责任保护公司的信息安全,这时候,我们可能有需要和黑客作斗争,化身为正义的天神,与黑暗中那个微笑的男人征战。所以说,这篇文章我想告诉大家前端黑客是如何操作的以及在公司我们如何保护好项目不受侵犯。
web前端黑客技术揭秘 笔记 第一章
王嘟嘟的博客
02-05 320
前言 这里对web前端黑客技术揭秘的知识点做一个笔记,可能更适合个人阅读。这本书里涉及到的东西非常多,全面我不知道,但是需要学习的基础的东西,还有了解的东西很多,遇到不懂的,需要深入挖掘一下的,就继续挖掘。由于本来笔记是写在印象笔记的导致格式可能会有一些问题。 笔记 1.1 数据与指令 1.sql注入 主要就是简单的说了一下sql注入,利用union来进行查询。 一般的情况下,sql发生在服务端,...
一篇文章搞定,2019年还来问GET和POST的区别的
web前端开发
02-23 206
来源 | https://segmentfault.com/a/11900000181298461、前言最近看了一些同学的面经,发现无论什么技术岗位,还是会问到 get ...
Web 前端也想做黑客,这些你都会吗?
前端大全
11-07 2319
常听前辈讲:如今学生,才学1分,便觉知3分;才学3分,便觉知7分。若能达7分,方知才1分。菜鸟和高手的区别,不完全在于你学了多少,更看你能否清晰认知到目前所处阶段,正确迸...
web前端黑客技术揭秘学习笔记-XSS漏洞挖掘
zhaozhanyong的专栏
05-13 5651
0X00 URL 的一种常见组成模式如下: :///?# 比如,一个最普通的URL 如下: http://www.foo.com/path/f.php?id=1&type=cool#new 对应关系如下: - http - www.foo.com - /path/f.php -id=1&type=cool,包括对 - new 对这个URL 来说,攻击者可控的输
Web前端黑客技术揭秘》笔记一
1CHIG0的博客
03-16 1862
    最近在研究《Web安全权威指南》这本书,然而看到了中间部分时感觉有些吃力,找原因还是基本知识不扎实,因为没有系统的学习过python,php,JS等知识。于是很是苦恼,发现了这本书《Web前端黑客技术揭秘》,其中对基础知识的讲解感觉很全面,以下是一些笔记。1、URL格式&lt;scheme&gt;:?//&lt;netloc&gt;/&lt;path&gt;?&lt;query&gt;#&...
Web前端黑客攻防全揭秘: XSS、CSRF与界面劫持
Web前端黑客技术解密》是一本由钟晨鸣和徐少培编著的实用书籍,专为前端工程师和对Web前端安全感兴趣的读者设计。该书深入探讨了Web前端的黑客攻防技术,主要包括跨站脚本(XSS)、跨站请求伪造(CSRF)以及界面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值