第三章 web应用程序技术1

推荐阅读：david gourley和brian totty合著的http：the definitive guide一书（o'reilly，2002）电子版在csdn上面就有

http（hypertext transfer protocol超文本传输协议）是访问万维网使用的核心通信协议，也是今天所有web应用程序使用的通用协议。

http使用一种基于信息的模型：客户端送出一条请求消息，而后由服务器返回一条响应消息。该协议基本上不需要连接，虽然http使用有状态的tcp协议作为它的传输机制，但每次请求与交换都自动完成，并且可能使用不同的tcp连接

所有http消息（请求与响应）中都包含一个或几个单行显示的消息头（header），然后是一个强制空白行，最后是消息主体（可选）

user-agent 消息头提供与浏览器或其他生成请求的客户端软件有关的信息

http响应

pragma 消息头指示浏览器不要将响应保存在缓存中。

特殊的http方法（除get和post外）

head 这个方法的功能和get方法相似，不同之处在于服务器不会再其响应中返回消息主体。服务器返回的消息头应与对应get请求返回的消息头相同。因此，此方法可用于检查某一资源在向其提交get请求前是否存在

trace 这种方法主要用于诊断。服务器应在响应主体中返回其收到的请求消息的具体内容。这种方法可用于检测客户端与服务器直接是否存在任何操纵请求的代理服务器

options 这种方法通常用于要求服务器报告对某一特殊资源有效的http方法。服务器通常返回一个包含allow消息头的响应，并在其中列出所有有效的http方法

put 这个方法试图使用包含在请求主体中的内容，向服务器上床指定的资源。如果激活这个方法，渗透测试员就可以利用它上床漏洞。

rest，即REST(Representational State Transfer表述性状态转移)是一种针对网络应用的设计和开发方式，可以降低开发的复杂性，提高系统的可伸缩性。（不好理解也就这样吧，以后会详细介绍的）

http消息头

1、常用

transfer-encoding  这个消息头指定为方便其通过http传输而对消息主体使用的任何编码，如果使用这个消息头，通常用他指定块编码

2、请求

authorization（授权） 这个消息头用于为一种内置http身份验证向服务器提交证书

if-modified-since 这个消息头用于说明浏览器最后一次收到所请求的资源的时间。如果自那以后资源没有变化，服务器就会发出一个带状态吗304的响应，指示客户端使用资源的副本。

if-none -match 这个消息头用于指定一个实体标签。实体标签式一个说明消息主体内容的标示符。最最后一次收到请求的资源时，浏览器提交服务器发布的实体标签。服务器使用这个实体标签决定浏览器是否使用缓存副本

origin（源）这个消息头用在跨域ajax请求中，用于指示提出请求的域。

AJAX即“Asynchronous JavaScript and XML”（异步JavaScript和XML)，AJAX并非缩写词，而是由Jesse James Gaiiett创造的名词，是指一种创建交互式网页应用的网页开发技术。