计算机网络协议

最新推荐文章于 2024-10-12 11:22:02 发布

SoulDrift

最新推荐文章于 2024-10-12 11:22:02 发布

阅读量139

点赞数

文章标签：计算机网络 http https

原文链接：https://wiki.freebuf.com/detail?tribal_id=31&camp_id=24&entry_id=998

版权

HTTP协议簇

本文转载自：

HTTP标准编辑

报文格式

请求报文格式

响应报文格式

字段解释

method

   HTTP动词
   常见方法：HEAD / GET / POST / PUT / DELETE / PATCH / OPTIONS / TRACE
   扩展方法：LOCK / MKCOL / COPY / MOVE

version

   报文使用的HTTP版本
   格式为HTTP/<major>.<minor>

   <scheme>://<user>:<password>@<host>:<port>/<path>;<params>?<query>#<frag>

请求头列表

   指定客户端能够接收的内容类型Accept: text/plain, text/html

Accept-Charset

   浏览器可以接受的字符编码集Accept-Charset: iso-8859-5

Accept-Encoding

   指定浏览器可以支持的web服务器返回内容压缩编码类型Accept-Encoding: compress, gzip

Accept-Language

   浏览器可接受的语言Accept-Language: en,zh

Accept-Ranges

   可以请求网页实体的一个或者多个子范围字段Accept-Ranges: bytes

Authorization

   HTTP授权的授权证书Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==

Cache-Control

   指定请求和响应遵循的缓存机制 Cache-Control: no-cache

Connection

   表示是否需要持久连接 // HTTP1默认进行持久连接Connection: close

   HTTP请求发送时，会把保存在该请求域名下的所有cookie值一起发送给web服务器Cookie: role=admin;ssid=1

Content-Length

   请求的内容长度Content-Length: 348

Content-Type

   请求的与实体对应的MIME信息Content-Type: application/x-www-form-urlencoded

Date

   请求发送的日期和时间Date: Tue, 15 Nov 2010 08:12:31 GMT

Expect

   请求的特定的服务器行为Expect: 100-continue

From

   发出请求的用户的EmailFrom: [user@email.com](mailto:user%40email.com)

Host

   指定请求的服务器的域名和端口号Host: www.github.com

If-Match

   只有请求内容与实体相匹配才有效If-Match: "737060cd8c284d8af7ad3082f209582d"

If-Modified-Since

   如果请求的部分在指定时间之后被修改则请求成功，未被修改则返回304代码If-Modified-Since: Sat, 29 Oct 2018 19:43:31 GMT

If-None-Match

   如果内容未改变返回304代码，参数为服务器先前发送的Etag，与服务器回应的Etag比较判断是否改变If-None-Match: "737060cd8c284d8af7ad3082f209582d"

If-Range

   如果实体未改变，服务器发送客户端丢失的部分，否则发送整个实体。参数也为EtagIf-Range: "737060cd8c284d8af7ad3082f209582d"

If-Unmodified-Since

   只在实体在指定时间之后未被修改才请求成功If-Unmodified-Since: Sat, 29 Oct 2010 19:43:31 GMT

Max-Forwards

   限制信息通过代理和网关传送的时间Max-Forwards: 10

Pragma

   用来包含实现特定的指令Pragma: no-cache

Proxy-Authorization

   连接到代理的授权证书Proxy-Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==

Range

   只请求实体的一部分，指定范围Range: bytes=500-999

Referer

   先前网页的地址，当前请求网页紧随其后,即来路Referer: http://www.zcmhi.com/archives/71.html

   客户端愿意接受的传输编码，并通知服务器接受接受尾加头信息TE: trailers,deflate;q=0.5

Upgrade

   向服务器指定某种传输协议以便服务器进行转换（如果支持）Upgrade: HTTP/2.0, SHTTP/1.3, IRC/6.9, RTA/x11

User-Agent

   User-Agent的内容包含发出请求的用户信息User-Agent: Mozilla/5.0 (Linux; X11)

   通知中间网关或代理服务器地址，通信协议Via:0 fred,1 nowhere.com (Apache/1.1)

Warning

   关于消息实体的警告信息Warn: 199 Miscellaneous warning

响应头列表编辑

Accept-Ranges

   表明服务器是否支持指定范围请求及哪种类型的分段请求Accept-Ranges: bytes

Access-Control-Allow-Origin

   配置有权限访问资源的域Access-Control-Allow-Origin: <origin>|*

   从原始服务器到代理缓存形成的估算时间（以秒计，非负）Age: 12

Allow

   对某网络资源的有效的请求行为，不允许则返回405Allow: GET, HEAD

Cache-Control

   告诉所有的缓存机制是否可以缓存及哪种类型Cache-Control: no-cache

Content-Encoding

   web服务器支持的返回内容压缩编码类型。Content-Encoding: gzip

Content-Language

   响应体的语言Content-Language: en,zh

Content-Length

   响应体的长度Content-Length: 348

Content-Location

   请求资源可替代的备用的另一地址Content-Location: /index.htm

Content-MD5

   返回资源的MD5校验值Content-MD5: Q2hlY2sgSW50ZWdyaXR5IQ==

Content-Range

   在整个返回体中本部分的字节位置Content-Range: bytes 21010-47021/47022

Content-Type

   返回内容的MIME类型Content-Type: text/html; charset=utf-8

Date

   原始服务器消息发出的时间Date: Tue, 15 Nov 2010 08:12:31 GMT

ETag

   请求变量的实体标签的当前值ETag: "737060cd8c284d8af7ad3082f209582d"

Expires

   响应过期的日期和时间Expires: Thu, 01 Dec 2010 16:00:00 GMT

Last-Modified

   请求资源的最后修改时间Last-Modified: Tue, 15 Nov 2010 12:45:26 GMT

Location

   用来重定向接收方到非请求URL的位置来完成请求或标识新的资源Location: http://www.zcmhi.com/archives/94.html

Pragma

   包括实现特定的指令，它可应用到响应链上的任何接收方Pragma: no-cache

Proxy-Authenticate

   它指出认证方案和可应用到代理的该URL上的参数Proxy-Authenticate: Basic

Refresh

   应用于重定向或一个新的资源被创造，在5秒之后重定向（由网景提出，被大部分浏览器支持）Refresh: 5; url=http://www.zcmhi.com/archives/94.html

Retry-After

   如果实体暂时不可取，通知客户端在指定时间之后再次尝试Retry-After: 120

Server

   web服务器软件名称Server: Apache/1.3.27 (Unix) (Red-Hat/Linux)

Set-Cookie

   设置Http Cookie Set-Cookie: UserID=JohnDoe; Max-Age=3600; Version=1

Strict-Transport-Security

   设置浏览器强制使用HTTPS访问max-age: x秒的时间内 访问对应域名都使用HTTPS请求includeSubDomains: 网站的子域名也启用规则Strict-Transport-Security: max-age=1000; includeSubDomains

Trailer

   指出头域在分块传输编码的尾部存在 Trailer: Max-Forwards

Transfer-Encoding

   文件传输编码Transfer-Encoding:chunked

Vary

   告诉下游代理是使用缓存响应还是从原始服务器请求Vary: *

   告知代理客户端响应是通过哪里发送的Via:0 fred,1 nowhere.com (Apache/1.1)

Warning

   警告实体可能存在的问题Warning: 199 Miscellaneous warning

WWW-Authenticate

   表明客户端请求实体应该使用的授权方案WWW-Authenticate: Basic

X-Content-Type-Options

   配置禁止MIME类型嗅探X-Content-Type-Options: nosniff

X-Frame-Options

   配置页面是否能出现在 <frame>, <iframe>, <embed>, <object> 等标签中，防止点击劫持X-Frame-Options: deny

X-XSS-Protection

   配置XSS防护机制X-XSS-Protection: 1; mode=block

HTTP状态返回代码 1xx（临时响应）

表示临时响应并需要请求者继续执行操作的状态代码。

| Code | 代码 | 说明 | | 100 | 继续 | 服务器返回此代码表示已收到请求的第一部分，正在等待其余部分 | | 101 | 切换协议 | 请求者已要求服务器切换协议，服务器已确认并准备切换 |

HTTP状态返回代码 2xx （成功）

表示成功处理了请求的状态代码。 | Code | 代码 | 说明 | | 200 | 成功 | 服务器已成功处理了请求。通常，这表示服务器提供了请求的网页 | | 201 | 已创建 | 请求成功并且服务器创建了新的资源 | | 202 | 已接受 | 服务器已接受请求，但尚未处理 | | 203 | 非授权信息 | 服务器已成功处理了请求，但返回的信息可能来自另一来源 | | 204 | 无内容 | 服务器成功处理了请求，但没有返回任何内容 | | 205 | 重置内容 | m服务器成功处理了请求，但没有返回任何内容 | | 206 | 部分内容 | 服务器成功处理了部分GET请求 |

HTTP状态返回代码 3xx （重定向）

HTTP状态返回代码 4xx（请求错误）

这些状态代码表示请求可能出错，妨碍了服务器的处理。 | Code | 代码 | 说明 | | 400 | 错误请求 | 服务器不理解请求的语法。 | | 401 | 未授权 | 请求要求身份验证。对于需要登录的网页，服务器可能返回此响应。 | | 403 | 禁止 | 服务器拒绝请求。 | | 404 | 未找到 | 服务器找不到请求的网页。 | | 405 | 方法禁用 | 禁用请求中指定的方法。 | | 406 | 不接受 | 无法使用请求的内容特性响应请求的网页。 | | 407 | 需要代理授权 | 此状态代码与 401（未授权）类似，但指定请求者应当授权使用代理。 | | 408 | 请求超时 | 服务器等候请求时发生超时。 | | 409 | 冲突 | 服务器在完成请求时发生冲突。服务器必须在响应中包含有关冲突的信息。 | | 410 | 已删除 | 如果请求的资源已永久删除，服务器就会返回此响应。 | | 411 | 需要有效长度 | 服务器不接受不含有效内容长度标头字段的请求。 | | 412 | 未满足前提条件 | 服务器未满足请求者在请求中设置的其中一个前提条件。 | | 413 | 请求实体过大 | 服务器无法处理请求，因为请求实体过大，超出服务器的处理能力。 | | 414 | 请求的 URI 过长 | 请求的 URI（通常为网址）过长，服务器无法处理。 | | 415 | 不支持的媒体类型 | 请求的格式不受请求页面的支持。 | | 416 | 请求范围不符合要求 | 如果页面无法提供请求的范围，则服务器会返回此状态代码。 | | 417 | 未满足期望值 | 服务器未满足"期望"请求标头字段的要求。 |

HTTP状态返回代码 5xx（服务器错误）

HTTPS

HTTPS (HyperText Transfer Protocol over Secure Socket Layer)可以理解为HTTP+SSL/TLS，即 HTTP 下加入 SSL 层，HTTPS 的安全基础是 SSL。

交互

证书验证阶段

浏览器发起 HTTPS 请求
服务端返回 HTTPS 证书

   其中证书包含：颁发机构信息公钥公司信息域名有效期指纹

客户端验证证书是否合法，如果不合法则提示告警

数据传输阶段

当证书验证合法后，在本地生成随机数
通过公钥加密随机数，并把加密后的随机数传输到服务端
服务端通过私钥对随机数进行解密
服务端通过客户端传入的随机数构造对称加密算法，对返回结果内容进行加密后传输

CA

CA (Certificate Authority) 是颁发数字证书的机构。是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。

Cookie

Cookie（复数形态Cookies），类型为「小型文本文件」，指某些网站为了辨别用户身份而储存在用户本地终端上的数据

属性

name

cookie的名称。

value

cookie的值。

expires

当 Expires 属性缺省时，表示是会话性 Cookie，在用户关闭浏览器时失效。

max-age

max-age 可以为正数、负数、0。如果 max-age 属性为正数时，浏览器会将其持久化，当 max-age 属性为负数，则表示该 Cookie 只是一个会话性 Cookie。当 max-age 为 0 时，则会立即删除这个 Cookie。Expires 和 max-age 都存在的条件下，max-age 优先级更高。

domain

指定Cookie的域名，默认是当前域名。domain设置时可以设置为自身及其父域，子域可以访问父域的Cookie，反之不能。

path

指定一个 URL 路径，这个路径必须出现在要请求的资源的路径中才可以发送对应的 Cookie。

secure

只能通过 HTTPS 传输。

httponly

限制Cookie仅在HTTP传输过程中被读取，一定程度上防御XSS攻击。

SameSite

SameSite 支持 Strict / Lax / None 三种值。Strict最为严格，完全禁止第三方 Cookie，跨站点时，任何情况下都不会发送 Cookie。Lax 允许部分第三方请求携带 Cookie，主要是链接、预加载、GET 表单三种情况。Cookie 的 SameSite 属性为 None ，且设置了 Secure 时，无论是否跨站都会发送 Cookie。

WebDAV

WebDAV （Web-based Distributed Authoring and Versioning）一种基于 HTTP1协议的通信协议。它扩展了HTTP1，在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法，使应用程序可对Web Server直接读写，并支持写文件锁定、解锁，以及版本控制等功能。支持的方法具体为：

OPTIONS

   获取服务器的支持

GET / PUT / POST / DELETE

   资源操作

TRACE

   跟踪服务器

HEAD
MKCOL

   创建集合

PROPFIND / PROPPATCH
COPY / MOVE
LOCK / UNLOCK

参考链接编辑

RFC

RFC 3253 Versioning Extensions to WebDAV (Web Distributed Authoring and Versioning)
RFC 3648 Web Distributed Authoring and Versioning (WebDAV) Ordered Collections Protocol
RFC 3744 Web Distributed Authoring and Versioning (WebDAV) Access Control Protocol
RFC 4437 Web Distributed Authoring and Versioning (WebDAV) Redirect Reference Resources
RFC 4918 HTTP Extensions for Web Distributed Authoring and Versioning (WebDAV)
RFC 5323 Web Distributed Authoring and Versioning (WebDAV) SEARCH
RFC 5842 Binding Extensions to Web Distributed Authoring and Versioning (WebDAV)