http协议解析

Posted 2021-04-24 安全小小兵

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了http协议解析相关的知识，希望对你有一定的参考价值。

一、 HTTP协议解析

1.1 发起HTTP请求的方式

( 1) 浏览器地址栏输入url请求；

( 2) 其他各类工具，如使用python的requests模块发起 get请求（图1-1）等；

图1-1 requests模块发起get请求

1.2 HTTP协议详解

HTTP协议最新版本为1.1，它是一种无状态协议，HTTP协议遵循请求(Request)/应答(Response)模型，只能由客户端发起，服务器进行响应。

1.2.1 HTTP请求与响应

HTTP的请求由三部分组成，分别为请求报文首部、空行和请求正文。其中请求报文首部由请求行、请求首部、通用首部、实体首部等组成（图1-2-1）。请求行包括请求方法、URI、HTTP协议版本，请求报文首部和请求正文由空行隔开。

图1-2-1 HTTP请求

与HTTP请求对应，HTTP响应也由三部分组成，分别为响应报文首部、空行、响应正文三部分组成（图1-2-2）。其中响应报文首部由响应行、响应首部、通用首部、实体首部等部分组成，响应行包括HTTP版本、状态码以及原因短语三部分,响应正文为服务器返回给客户端的数据，用空行和响应报文首部隔开。

图1-2-2 HTTP响应

1.2.2 HTTP请求方法

HTTP的请求方法非常多，其中GET、POST最为常见，此外还有HEAD、PUT、DELETE、CONNECT、OPTIONS等方法（表1-2-1）。

表1-2-1 HTTP请求方法
请求方法	用法
GET	获取请求页面的指定信息(参数跟随在url后，在浏览器端可以看到参数),请求返回Web容器解析后的html代码。
POST	用于向服务器发送大量数据(内容单独作为一部分，不与url拼接，浏览器端看不到请求的内容，更安全)。
HEAD	用于测试超文本链接的有效性、可访问性等，不返回消息主体。
PUT	用于请求服务器把附带的实体内容存储在请求的资源下，如果资源已存在则进行替换，如果资源部存在则创建这个资源。
DELETE	用于请求源服务器删除请求的指定资源。
OPTIONS	用于获取访问程序URI资源可使用的功能(请求方法)。
TRACE	追踪路径。
CONNECT	要求用隧道协议连接代理。

1.2.3 HTTP状态码

当客户端发出HTTP请求后，服务器端将向客户端发送响应消息，响应行中最重要的就是HTTP状态码（表1-2-2），用来表示这次请求的状态，不同的状态码代表不同的含义，其中状态码第1位的值代表响应的类别。

表1-2-2 HTTP状态码
状态码	含义	示例
1xx	服务器信息提示，表示请求被成功接收，将继续处理
2xx	服务器处理成功，服务器成功处理了请求	200：客户端请求处理成功 204：无实体内容返回 206：响应客户端范围请求
3xx	访问资源重定向，告知浏览器其访问资源新的位置	301：永久性重定向 302：临时性重定向 303：GET请求指定URI
4xx	客户端请求错误，服务器无法处理请求	400：请求内容语法错误 401：请求未经授权 403：服务器拒绝提供服务 404：请求资源不存在
5xx	服务器内部错误，不能正常处理客户端的有效请求	500：服务器内部错误 503：服务器暂时不能处理

1.2.4 HTTP首部字段

HTTP首部字段根据实际用途被分为4种类型：通用首部字段（General Header Fields）、请求首部字段(Request Header Fields)、响应首部字段(Response Header Fields)、实体首部字段(Entity Header Fields)。

（1）通用首部字段

请求报文和响应报文都会使用的首部（表1-2-3）。

（2）请求首部字段

从客户端向服务端发送请求报文时使用的首部，补充了请求的附加内容、客户端信息、响应内容相关优先级等信息（表1-2-4）。

表1-2-4 HTTP请求首部字段
首部字段名	说明
Host	用于指定请求资源的主机和端口
User-Agent	用于将客户端的操作系统、浏览器或其他属性告知服务器
Referer	Referer包含一个url,该url即访问当前页面的原始链接
Cookie	是一段用于表示请求者身份的文本
Range	用于表示请求的内容的范围，如bytes=500~999表示获取请求内容的第501到1000字节。
x-forward-for	XXF头，代表请求端的IP
Accept	用于表示客户端希望接收的文件类型，如Accept: text/html
Accept-Charset	用于指定客户端接收的字符集(默认为任何字符集)，如Accept-Charset:iso-8859-1,gb2312
Accept-Encoding	优先的内容编码
Accept-Language	优先的语言（自然语言）
Proxy-Authorization	代理服务器要求客户端的认证信息
Authorization	Web认证信息

（3）响应首部字段

从服务器端向客户端发送请求报文时使用的首部，补充了请求的附加内容、客户端内容、客户端信息、响应内容相关优先级等信息（表1-2-5）。

表1-2-5 HTTP响应首部字段
首部字段名	说明
Server	用于表示服务器使用的Web服务器名称，如Server:Apache/1.3.6(Unix)
Set-Cookie	用于向客户端设置Cookie
Last-Modified	用于告知客户端资源的最后修改时间
Location	用于告知客户端资源重定向的页面
Refresh	用于告知客户端定时刷新
Accept-Ranges	是否接受字节范围请求
Age	推算资源创建经过时间
Proxy-Authenticate	代理服务器对客户端的认证信息
WWW-Authenticate	服务器对客户端的认证信息

（4）实体首部字段

针对请求报文和响应报文的实体部分使用的首部，补充了资源内容更新时间等与实体有关的信息（表1-2-6）。

1.3 HTTP 协议与HTTPS协议的区别

HTTPS协议在HTTP协议的基础上引入了SSL（Secure Socket Layer，安全套接层）或 TLS（Transport Layer Security，安全层传输协议），即HTTPS = HTTP + SSL/TLS,HTTP协议与HTTPS协议两者间具有较大差异（表1-3）。