web安全HTTP协议基础

1、HTTP方法

请求方法	描述
GET	请求获取URL资源
POST	执行操作，请求URL资源后附加新的数据
HEAD	只获取资源响应消息的报头
PUT	请求服务器存储一个资源
DELETE	请求服务器删除资源
TRACE	请求服务器回送到的信息
OPTIONS	查询服务器的支持选项

2、URL

常见URL格式：

protocol://[user[:password]@]hostname[:post]/[path]/file[?param= value]

分别对应：

协议 分隔符 用户信息 域名 端口 路径 资源文件 参数 键 参数值

3、HTTP消息头

消息头	描述	备注
Connection	告知通信另一端，在完成HTTP传输后是关闭 TCP 连接，还是保持连接开放
Content-Encoding	规定消息主体内容的编码形式
Content-Length	规定消息主体的字节长度
Content-Type	规定消息主体的内容类型
Accept	告知服务器客户端愿意接受的内容类型	请求
Accept-Encoding	告知服务器客户端愿意接受的内容编码	请 求
Authorization	进行内置 HTTP 身份验证	请 求
Cookie	用于向服务器提交 cookie	请 求
Host	指定所请求的完整 URL 中的主机名称	请 求
Oringin	跨域请求中的请求域	请 求
Referer	指定提出当前请求的原始 URL	请 求
User-Agent	提供浏览器或者客户端软件的有关信息	请 求
Cache-Control	向浏览器发送缓存指令	响 应
Location	重定向响应	响 应
Server	提供所使用的服务器软件信息	响 应
Set-Cookie	向浏览器发布 cookie	响 应
WWW-Authenticate	提供服务器支持的验证信息	响 应

4、Cookie

Cookie 是一组键值对，另外还包括以下信息：

expires，用于设定 cookie 的有效时间。

domain，用于指定 cookie 的有效域。

path，用于指定 cookie 的有效 URL 路径。

secure，指定仅在 HTTPS 中提交 cookie。

HttpOnly，指定无法通过客户端 JavaScript 直接访问 cookie。

5、状态码

状态码表明资源的请求结果状态，由三位十进制数组成，第一位代表基本的类别：

1xx，提供信息

2xx，请求成功提交

3xx，客户端重定向其他资源

4xx，请求包含错误

5xx，服务端执行遇到错误

常见的状态码及短语如下所示：

状态码	短语	描述
100	Continue	服务端已收到请求并要求客户端继续发送主体
200	Ok	已成功提交，且响应主体中包含请求结果
201	Created	PUT 请求方法的返回状态，请求成功提交
301	Moved Permanently	请求永久重定向
302	Found	暂时重定向
304	Not Modified	指示浏览器使用缓存中的资源副本
400	Bad Request	客户端提交请求无效
401	Unauthorized	服务端要求身份验证
403	Forbidden	禁止访问被请求资源
404	Not Found	所请求的资源不存在
405	Method Not Allowed	请求方法不支持
413	Request Entity Too Large	请求主体过长
414	Request URI Too Long	请求URL过长
500	Internal Server Error	服务器执行请求时遇到错误
503	Service Unavailable	Web 服务器正常，但请求无法被响应

401 状态支持的 HTTP 身份认证：

• Basic，以 Base64 编码的方式发送证书

• NTLM，一种质询-响应机制

• Digest，一种质询-响应机制，随同证书一起使用一个随机的 MD5 校验和