Web安全之HTTP協(xié)議

HTTP協(xié)議是互聯(lián)網(wǎng)信息交互中最為重要的協(xié)議之一,特別是在當(dāng)前Web 2.0被廣泛應(yīng)用的今天抬纸,HTTP協(xié)議上承載了Web應(yīng)用的主要交互手段和認(rèn)證機(jī)制。從供給角度來講,多數(shù)針對Web站點(diǎn)的供給手段也需要借助操作樟澜、提交、解析HTTP協(xié)議來完成。如:XSS攻擊秩贰、SQL注入霹俺、暴力破解等攻擊手段,以及主流的漏洞掃描工具的漏洞檢驗(yàn)機(jī)制等毒费。因此HTTP協(xié)議是學(xué)習(xí)Web安全知識繞不開的協(xié)議丙唧。

URL(Uniform Resource identifier): 統(tǒng)一資源標(biāo)識符。

結(jié)構(gòu):

scheme://login:passwd@address:port/path/to/resource?query_string#fragment

Scheme協(xié)議名稱:

指定使用的傳輸協(xié)議觅玻,其中HTTP協(xié)議是互聯(lián)網(wǎng)中最廣泛的協(xié)議想际。

其他協(xié)議:

file:用于訪問資源位于本地計(jì)算機(jī)上的文件。

ftp:用于訪問FTP服務(wù)器上的資源溪厘。

https:通過加密協(xié)議SSL的http訪問web服務(wù)器資源胡本。

mailto:訪問資源屬于電子郵件地址,通過SMTP協(xié)議訪問畸悬。

ed2k\flashget\thunde等通過支持專用下載協(xié)議的P2P軟件訪問資源

// :

URL層級URL標(biāo)記符號侧甫,在授權(quán)信息之前,每個(gè)層級結(jié)構(gòu)的絕對URL里應(yīng)該包括固定的"http://"符號傻昙,同樣根據(jù)該規(guī)范闺骚,如果沒有層級URL標(biāo)記,將無法確定URL余下部分的格式和功能妆档。

非層級URL結(jié)構(gòu): mailto:

login:passwd:

訪問資源的身份認(rèn)證僻爽。

在URL中身份驗(yàn)證屬于可選項(xiàng),在向服務(wù)器申請資源時(shí)贾惦,在某些情況下胸梆,需要制定一個(gè)用戶名和密碼。需要注意的是须板,此處身份驗(yàn)證的字段只與URL開端指定的協(xié)議有關(guān)碰镜,和實(shí)際請求的內(nèi)容無關(guān)。

如果沒有身份驗(yàn)證字段习瑰,瀏覽器默認(rèn)以匿名方式訪問資源绪颖。

address:服務(wù)器地址:

完整的層級URL,必須有一個(gè)域名甜奄、IPv4或者IPv6地址作為請求服務(wù)器的位置柠横。這里域名是不區(qū)分大小寫的,二IPv6需要在方括號中

port:服務(wù)器端口

服務(wù)器端口是URL中的可選內(nèi)容课兄,在沒有端口時(shí)牍氛,會默認(rèn)去訪問協(xié)議的標(biāo)準(zhǔn)端口⊙滩基本上瀏覽器支持的協(xié)議都會有關(guān)聯(lián)的默認(rèn)服務(wù)接口搬俊。不過默認(rèn)接口可以在URL中進(jìn)行修改紊扬。

TCP和UDP都依賴一個(gè)16位端口號來分別訪問同一臺服務(wù)器的不同服務(wù)。

/path/to/resource:層級文件路徑

URL的這部分被稱為層級文件路徑唉擂,這一結(jié)構(gòu)來源自UNIX目錄語義餐屎,因此保留了對"/../" 、"/./" 的支持楔敌。

啤挎?query_string:查詢字符串

查詢字符串是一個(gè)非必須的字段驻谆,只要負(fù)責(zé)將一系列非層級格式的任意參數(shù)傳遞給指定的服務(wù)器資源卵凑。遺憾的是。RFC標(biāo)準(zhǔn)中并未對這一字段的規(guī)則進(jìn)行硬性的規(guī)定胜臊,因此留下了很多安全隱患勺卢,此處會引發(fā)很多的安全問題。

#fragment:片段ID

片段ID是應(yīng)用的位置有別于查詢字符串象对,他應(yīng)用于客戶端黑忱,片段ID并不會傳到服務(wù)器。 片段ID一般指向頁面中的某個(gè)錨點(diǎn)勒魔,將片段ID與預(yù)先設(shè)置的錨點(diǎn)名稱匹配甫煞,并滾動(dòng)到相應(yīng)位置。

片段ID有一項(xiàng)不常使用的用途冠绢,就是儲存臨時(shí)數(shù)據(jù)抚吠,例如保存客戶端腳本需要的一些狀態(tài)參數(shù)。

HTTP協(xié)議

HTTP,全稱是超文本傳輸協(xié)議弟胀,是WEB的核心傳輸機(jī)制楷力,也是服務(wù)端與客戶端之間交換URL的首選協(xié)議。

HTTP請求:

請求頭



HTTP響應(yīng):


最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末孵户,一起剝皮案震驚了整個(gè)濱河市萧朝,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌夏哭,老刑警劉巖检柬,帶你破解...
    沈念sama閱讀 211,639評論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異竖配,居然都是意外死亡何址,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,277評論 3 385
  • 文/潘曉璐 我一進(jìn)店門械念,熙熙樓的掌柜王于貴愁眉苦臉地迎上來头朱,“玉大人,你說我怎么就攤上這事龄减∠钆ィ” “怎么了?”我有些...
    開封第一講書人閱讀 157,221評論 0 348
  • 文/不壞的土叔 我叫張陵,是天一觀的道長烁巫。 經(jīng)常有香客問我署隘,道長,這世上最難降的妖魔是什么亚隙? 我笑而不...
    開封第一講書人閱讀 56,474評論 1 283
  • 正文 為了忘掉前任磁餐,我火速辦了婚禮,結(jié)果婚禮上阿弃,老公的妹妹穿的比我還像新娘诊霹。我一直安慰自己,他們只是感情好渣淳,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,570評論 6 386
  • 文/花漫 我一把揭開白布脾还。 她就那樣靜靜地躺著,像睡著了一般入愧。 火紅的嫁衣襯著肌膚如雪鄙漏。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 49,816評論 1 290
  • 那天棺蛛,我揣著相機(jī)與錄音怔蚌,去河邊找鬼。 笑死旁赊,一個(gè)胖子當(dāng)著我的面吹牛桦踊,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播彤恶,決...
    沈念sama閱讀 38,957評論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼钞钙,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了声离?” 一聲冷哼從身側(cè)響起芒炼,我...
    開封第一講書人閱讀 37,718評論 0 266
  • 序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎术徊,沒想到半個(gè)月后本刽,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 44,176評論 1 303
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡赠涮,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,511評論 2 327
  • 正文 我和宋清朗相戀三年子寓,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片笋除。...
    茶點(diǎn)故事閱讀 38,646評論 1 340
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡斜友,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出垃它,到底是詐尸還是另有隱情鲜屏,我是刑警寧澤烹看,帶...
    沈念sama閱讀 34,322評論 4 330
  • 正文 年R本政府宣布,位于F島的核電站洛史,受9級特大地震影響惯殊,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜也殖,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,934評論 3 313
  • 文/蒙蒙 一土思、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧忆嗜,春花似錦己儒、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,755評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽该镣。三九已至冻璃,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間损合,已是汗流浹背省艳。 一陣腳步聲響...
    開封第一講書人閱讀 31,987評論 1 266
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留嫁审,地道東北人跋炕。 一個(gè)月前我還...
    沈念sama閱讀 46,358評論 2 360
  • 正文 我出身青樓,卻偏偏與公主長得像律适,于是被迫代替她去往敵國和親辐烂。 傳聞我的和親對象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,514評論 2 348

推薦閱讀更多精彩內(nèi)容

  • Spring Cloud為開發(fā)人員提供了快速構(gòu)建分布式系統(tǒng)中一些常見模式的工具(例如配置管理捂贿,服務(wù)發(fā)現(xiàn)纠修,斷路器,智...
    卡卡羅2017閱讀 134,633評論 18 139
  • 一厂僧、概念(載錄于:http://www.cnblogs.com/EricaMIN1987_IT/p/3837436...
    yuantao123434閱讀 8,333評論 6 152
  • 前言:最近發(fā)現(xiàn)自己在網(wǎng)絡(luò)相關(guān)這一塊基礎(chǔ)很是欠缺扣草,所以準(zhǔn)備花時(shí)間了解一下,本文主要是講http協(xié)議的一些基礎(chǔ)颜屠,和一些...
    justCode_閱讀 2,093評論 0 23
  • Http協(xié)議詳解 標(biāo)簽(空格分隔): Linux 聲明:本片文章非原創(chuàng)辰妙,內(nèi)容來源于博客園作者M(jìn)IN飛翔的HTTP協(xié)...
    Sivin閱讀 5,210評論 3 82
  • 本文整理自MIN飛翔博客 [1] 1. 概念 協(xié)議是指計(jì)算機(jī)通信網(wǎng)絡(luò)中兩臺計(jì)算機(jī)之間進(jìn)行通信所必須共同遵守的規(guī)定或...
    HoyaWhite閱讀 2,659評論 2 20