网络协议:HTTP协议
简介
HTTP 是一种能够获取如 HTML 这样的网络资源,一般都浏览器这样的接受方发起的,一个完整的 web文档通常由不同的子文档拼接组成,像是文本、布局、图片、视频、脚本等等。
HTTP 是一个 基于TCP/IP通信协议 来传递数据(HTML 文件, 图片文件, 查询结果等)。
工作原理
- HTTP 是一个 client-server 协议,客户端发起请求,服务端接受请求并做出相应。
- 浏览器作为 HTTP 客户端通过 URL 向 HTTP(Web) 服务端即WEB服务器发送所有请求
- 由像浏览器这样的客户端发出的消息叫做 requests,被服务端响应的消息叫做 responses。
特点
- 无连接:无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求,并收到客户的应答后,即断开连接。采用这种方式可以节省传输时间。
- 无状态:HTTP 协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息,则它必须重传,这样可能导致每次连接传送的数据量增大。另一方面,在服务器不需要先前信息时它的应答就较快。
- 媒体独立的:这意味着,只要客户端和服务器知道如何处理的数据内容,任何类型的数据都可以通过HTTP 发送。客户端以及服务器指定使用适合的 MIME-type 内容类型。
HTTP 报文结构
HTTP是基于客户端/服务端(C/S)的架构模型,通过一个可靠的链接来交换信息,是一个无状态的请求/响应协议。
一个HTTP"客户端"是一个应用程序(Web浏览器或其他任何客户端),通过连接到服务器达到向服务器发送一个或多个HTTP的请求的目的。
一个HTTP"服务器"同样也是一个应用程序(通常是一个Web服务,如Apache Web服务器或IIS服务器等),通过接收客户端的请求并向客户端发送HTTP响应数据。
HTTP使用统一资源标识符(Uniform Resource Identifiers, URI)来传输数据和建立连接。
一旦建立连接后,数据消息就通过类似Internet邮件所使用的格式[RFC5322]和多用途Internet邮件扩展(MIME)[RFC2045]来传送。
客户端请求报文
客户端发送一个HTTP请求到服务器的请求消息包括以下格式:请求行(request line)、请求头部(header)、空行和请求数据四个部分组成。
服务器相应报文
HTTP响应也由四个部分组成,分别是:状态行、消息报头、空行和响应正文。
请求方法
HTTP1.0 定义了三种请求方法: GET, POST 和 HEAD方法。
HTTP1.1 新增了六种请求方法:OPTIONS、PUT、PATCH、DELETE、TRACE 和 CONNECT 方法。
| 方法 | 描述 |
| GET | 获取资源 |
| POST | 传输实体主体 |
| PUT | 传输文件 |
| DELETE | 删除文件 |
| HEAD | 获取报文首部 |
| OPTIONS | 询问支持的方法 |
| TRACE | 追踪路径 |
| CONNECT | 要求用隧道协议连接代理 |
| LINK | 建立和资源之间的联系 |
| UNLINKE | 断开连接关系 |
状态码
1xx
信息响应,表示接受的请求正在处理
- 100 临时响应
- 101 指示服务器正在切换的协议
2xx
成功响应,请求被正常处理
- 200 OK 请求已正常处理
- 201 Create 请求成功,并创建了一个新的资源
- 204 No Content 请求处理成功,但是没有任何资源可以返回给客户端
- 206 Partial Content 是对某一部分的请求,使用场景为 HTTP 分块下载和断点续传当然,也要带上响应的响应头字段Content-Range
3xx
重定向,表明浏览器需要执行某些特殊的处理以正确的处理请求
- 301 Moved Permanently 永久重定向 资源的 URL 以更新
- 302 Found 临时性重定向,资源的 URL 临时换到其他位置
- 304 Not Modified 协商缓存,资源未改变
4xx
客户端响应,客户端发生错误
- 400 Bad Request 服务器无法理解客户端发送的请求
- 401 Unattended 未通过验证信息
- 403 Forbidden 禁止访问该资源
- 404 Not Found 资源未找到
- 405 Method Not Allowed 请求方法不允许
- 406 Not Acceptable 资源无法满足客户端的条件
- 408 Request Timeout 请求超时
5xx
服务端响应,服务器发生错误
- 500 Internal Server Error 服务器内部发生未知错误
- 501 Not Implemented 服务器不支持该请求方法且无法处理
- 502 Bad Gateway 服务器正常,但是访问时出现错误
- 503 Server Unavailable 服务器繁忙(停机或者维护)
缓存
缓存分为浏览器缓存和 HTTP 缓存。 HTTP 缓存分为两种:强缓存和协商缓存, 浏览器缓存分为本地储存(Cookie、WebStorage、indexDB等)和默认缓存(往返的BFCache) 这里只学习 HTTP 缓存
强缓存
不会像服务器发送请求,直接从浏览器缓存中读取资源。
强制缓存在缓存数据未失效的情况下(即Cache
-Control的max-age没有过期或者Expires的缓存时间没有过期),那么就会直接使用浏览器的缓存数据,不会再向服务器发送任何请求。强制缓存生效时,http状态码为200。
- Pragma:值为 no-cache 是,不使用缓存,更具新鲜度来使用缓存
- Expires: Response Header中过期时间,浏览器再次加载时,如果在这个过期时间内,则命中强缓存
- Cache-Contorl:当值设为 max-age=300 时,则代表在这个请求正确返回时间(浏览器也会记录下来)的 5 分钟内再次加载资源,就会命中强缓存。
优先级依次递减 Pragma 优先级最高
协商缓存
强缓存失效或不存在的时候,向服务器发送请求,由服务器决定是否使用缓存。
- Last-Modified/If-Modified-Since:即最后的修改时间,在浏览器第一次给服务器发送请求之后,服务区会在响应头中加上这个字段。
浏览器接受后,如果再次请求,会在将Last-Modified 字段,作为请求头中携带If-Modified-Since 字段的值发送给服务器。
服务器接受后会进行对比:
- 如果请求头中的这个值小于最后修改时间,说明是时候更新了。返回新的资源,跟常规的HTTP请求响应的流程一样。
- 否则返回304,告诉浏览器直接用缓存。.
- ETag/If-None-Match:由服务端给当前文件生成的唯一标识,服务器通过 Respones Header 把值传改浏览器。浏览器则会在下次请求时,将 ETag 的值作为If-None-Match 字段的内容,发送给浏览器进行对比。
- 如果两者不一样,说明要更新了。返回新的资源,跟常规的HTTP请求响应的流程一样。
- 否则返回304,告诉浏览器直接用缓存。
总结流程
首先通过 Cache-Control 验证强缓存是否可用
- 如果强缓存可用,直接使用
- 否则进入协商缓存,即发送 HTTP 请求,服务器通过请求头中的If-Modified-Since或者If-None-Match这些条件请求字段检查资源是否更新
- 若资源更新,返回资源和200状态码
- 否则,返回304,告诉浏览器直接从缓存获取资源
网络安全学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
需要网络安全学习路线和视频教程的可以在评论区留言哦~
最后
- 如果你确实想自学的话,我可以把我自己整理收藏的这些教程分享给你,里面不仅有web安全,还有渗透测试等等内容,包含电子书、面试题、pdf文档、视频以及相关的课件笔记,我都已经学过了,都可以免费分享给大家!
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失
