HTTP:
超文本文件传输协议
主要特点:
简单快速:客户向服务器请求服务时,只需传请求方法和路径
灵活:允许传输任意类型的数据对象,有Content-Type加以标记
无状态:无状态协议,指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息,则必须重传。
HTTP传输过程:
建立TCP连接->web浏览器向web服务器发送请求命令->web浏览器发送请求头信息->web服务器应答->web服务器发送应答头信息->web服务器向浏览器发送数据->web服务器关闭或保持连接
URL:统一资源定位符,类IP
基本格式:协议+host+port+path+参数+锚
当浏览器输入URL时,浏览器会发送一个Request去获取Html.服务器把Response发送回浏览器->浏览器分析Response里面的Html,根据其中引用的其他文件,如图片、CSS、JS等,浏览器会自动再次发送Request去获取->等所有文件都下载成功后,网页就被显示出来了
HTTP消息结构
Requset:
Request line Request header body
Request line:METHOD表示请求方法(POST\GET\PUT等)
Path-to-resoure表示请求的资源
Http/Version-number:表示HTTP协议版本号
GET和POST:
数据长度:HTTP协议没有对传输的数据和URL长度进行限制,不过特定浏览器和服务器对URL长度有限制。GET提交的时候,传输数据就会受到URL长度的限制;POST理论上数据长度不受限
安全性:POST的安全性要比GET高,通过GET提交的数据,将明文出现在URL上面,会被记录到历史纪录里面
Response:
Response line Response header body
Response line :HTTP/version-number协议版本号
Status-code状态码
Message状态消息
1XX提示信息
2XX成功
3XX重定向
4XX客户端错误
5XX服务器端错误
常用状态码:200(OK)找到资源,一切正常
304(NOT MODIFIED)该资源在上次请求之后没有任何修改,通常用于浏览器的缓存机制
401(UNAUTHORIZED)客户端无权访问该资源。通常需要登陆到服务器
403(FORBIDDEN)客户端未能获得授权。通常实在401之后输入了不正确的用户名和密码
404(NOT FOUND)指定位置不存在申请的资源
Request Header:
Cache头域 Client头域 Cookie头域 Entity头域 transport头域 其他头域
Cache:说明数据缓存方式等,提高网络访问速率
Accept:说明接收类型
User-Agent:告诉HTTP服务器,客户端使用的操作系统和浏览器的名称和版本
Cookie:辨别用户身份、进行SESSION跟踪而存储在用户本地上的数据(通常经过加密)
Entity:存放数据部分的长度、类型等信息。
Transport:说明传输连接情况、主机地址等
HEX Encode:将URL规范中不允许出现的字符进行编码。
方法:把所有非字母数字字符都将被替换成%后跟2个十六进制数,空格则编码为+
HEX Decode:一般用unsigned char类型存储
Chunked:长度+数据传输,结尾是0
GZIP Decode:支持流式解压,处理时不需要太多缓存
POST Boby:客户端往WEB服务器发送数据的编码格式,如上传文件、发送微博,提交评论等
Text/plain:无格式正文 Decode:直接读取
Application/xml:XML格式正文 Decode:采用XML库解析
Application/json:JSON格式 Decode:JSON解析库
Application/x-www-form-urlencoded:格式key1=value1&key2=value2 value采用HEX编码格式 Decode:先解析出所有的key和value对;然后对value进行HEX decode
Multipart/form-data:MIME类型,用于提交复杂/多类型数据。格式:所有提交内容按段分割,每段相互独立;分割符为特殊分割符,Content-Type指定;每个内容段有各自的独立头部信息,来标记内容格式、文件名等。
Application/octet-stream:多用于文件上传,邮件发送附件等
HTTP多线程:Mail-Upload-size/Mail_upload-offset/Maill-Upload-length
WEB信誉
URL劫持
访问被强制重定向
原理:劫持用户的HTTP GET请求,得到HOST和URL;查询恶意库,一旦发现是恶意库,则给用户发送一个伪造的HTML页面,并且丢掉数据包;在伪造的页面中,嵌入原始链接地址,用户可以点击继续访问原网站,不过为了识别访问经过用户确认,嵌入的原链接地址后面加上认证签名;用户确认后再次访问该URL,IPS再次劫持URL的时候查看是否存在签名,如果存在,则放行,否则回到伪造的HTML页面
1659
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
