Análisis del flujo de solicitudes web y método http (versión actualizada)

Others 2020-04-10 22:35:12 views: null

Análisis del proceso de solicitud web y método http

(Debido a que la composición tipográfica anterior es demasiado mala, y el editor de texto enriquecido utilizado, el efecto final no es bueno, se tomó el tiempo para reorganizarlo, este encabezado de información es demasiado difícil de recordar jaja, recientemente para reducir la ingesta de nuevos conocimientos, ponga el resumen Tengo que revisarlos todos, pero aún tengo que aprender un punto sólido. Recientemente, he leído algunas preguntas de la entrevista. Esta es la base, como el significado de los códigos de estado en este artículo).

solicitud y respuesta http

Protocolo de transferencia de hipertexto HTTP

		是今天所有WEB应用程序使用的通信协议
			使用一种用于消息的模型:客户端发出一条请求,服务端返回一条相应消息,该协议基本不需要连接,虽然HTTP使用有状态的TCP协议作为他的传输机制,但是每次请求与响应都会自动完成,并且有可能使用不同的TCP连接

Solicitar encabezado de mensaje

La página GET + solicita el contenido de esta página
o POST significa enviar

La versión
1.1 del protocolo HTTP / 1.1 debe usar el encabezado de solicitud de host
HOST + nombre de dominio o dirección IP

Conectar cerrar o mantener cerca es mejor
. Después de obtener los datos, el servidor se desconecta del cliente para cerrar
el número de usuarios. Hay un problema.

Cache-Control
para los comandos de transmisión a la caché del navegador
si no hay no-cache fue
otra es tener

Solicitudes de actualización segura: 1 se
utiliza para actualizar automáticamente las solicitudes de HTTP a HTTPS, lo que desempeña un papel de transición y resuelve problemas de seguridad. Las
contraseñas de las cuentas de contenido están encriptadas y las capturas de paquetes son paquetes de datos encriptados

Use-Agent
indica que la versión del kernel del sistema operativo local, el navegador y otra información
pueden tener Mozilla, debido a las sobras históricas del navegador

Aceptar
soportes navegador expresadas el tipo MIME
si * / * expresado su apoyo a cualquier tipo
de orden de prioridad de izquierda a derecha
si el servidor no es el tipo de necesidades de los clientes, 406 de error
0.8 no es seguido por cualquier tipo puede ser

Clasificación de tipo MIME
Texto: utilizado para estandarizar la información de texto, los mensajes de texto pueden ser conjuntos de caracteres múltiples o formatear
texto / html: indica
aprobación de documento html : indica transmisión de datos de aplicación o aplicación de datos binarios
/ xhtml + xml
indica
aplicación de documento xhtml / xml
Documento xml

Consulte
la página de inicio antes de la página de destino.
Anti-descarga, robar
enlace puede determinar enlaces ilegales


Campo de compresión ACCEPT-Encoding , lo que significa que la página solicitada está comprimida,
mostrando buenos resultados y
la presión del servidor

ACEPTAR-Idioma de
prioridad idioma
zh-cn chino simplificado
zh chino
de 0 a 1 prioridad de pequeño a grande, 0 no se acepta

Utilizado
al iniciar sesión en cookies , el contenido de información del usuario puede existir en cookies locales

x_FORWARDED_FOR
se utiliza para identificar la conexión a uno de la dirección IP original la mayor parte de cabecera de las peticiones HTTP del lado del cliente del servidor Web mediante proxy o balanceo de carga métodos
para romper a través de Ali y así sucesivamente WARF
agregar 127.0.0.1, que pretende ser el acceso local, no será bloqueada

La autorización
es una autenticación HTTP incorporada para enviar un certificado al servidor

Origen
indica el dominio solicitado

Encabezado de respuesta

http / 1.1 200 ok
se puede acceder


Modelo de servidor

La
fecha de los datos está
relacionada con el caché y no está sincronizada


Solicitud de tipo de conexión y tipo de devolución, y formato de codificación

Caduca
controla el tiempo de caducidad de la memoria caché, lo que indica que el contenido de la respuesta ha expirado

Pragmar se
usa para enviar instrucciones de caché al navegador, instruyendo al navegador para que no guarde la respuesta en el caché,
como no-cache

Control de
caché con control de caché

X: Desarrollado por
framework

Variar: la codificación de aceptación
indica que el sitio web tiene habilitada la compresión GZip

Content_Length
Tamaño de HTML

El
navegador ETag verifica que el recurso solicitado
no ha cambiado de acuerdo con el ETag de la solicitud HTTP. La
respuesta 304 no modificada se devuelve y se lee en el caché del navegador de cebolla morada, por lo que no es necesario volver a descargar la solicitud

La ubicación
indica el objetivo del acceso redirigido

WWW-Authenticate se
utiliza en respuesta con el código de estado 401 para proporcionar información
relacionada con la verificación de identidad en poder del servidor

X-Fram-Options
indica si y cómo el marco del navegador carga la respuesta actual

método http, URL, cookie, código de estado

Método HTTP (puede usarse para pruebas de seguridad)

		get
			请求获取某一资源
		post
			提交表单
		opptions
			返回服务器各种信息
		put
			生成上传文件数据包
		move
			改名数据包
		copy
			复制数据包
		delete
			删除数据
		propfind
			生成返回有浏览目录权限的内容目录的数据包,最后点提交数据包把生成的数据包提交到服务器

URL

		web资源唯一标识符,可通过它获取其标识的资源
			默认80端口,写在域名后
			?id=1 取出数据库id为1的数据返回
		在WWW上,每一信息资源都有统一的且在网上唯一的地址,该地址就叫URL(Uniform Resource Locator,统一资源定位符),它是WWW的统一资源定位标志,就是指网络地址。
			URL由三部分组成:资源类型、存放资源的主机域名、资源文件名。
			也可认为由4部分组成:协议、主机、端口、路径

Galleta

		概念
			HTTP是无状态协议,客户端和服务器交换数据完毕就会断开连接,再请求,再连接,这就造成服务器单从网络连接上无法知道用户身份
				为了解决,每次有新用户来的时候,就给它发一个身份证,下次访问就知道如何处理了
					本质是一个很小的文本文件,储存在用户机器上
						会话cookie
							临时
						持久cookie
							可以设置有效时间
		属性
			域domain
				可以控制哪些站点可以使用
			路径PATH
				可以为服务器特定文档指定cookie
			secure
				只能在HTTPS协议加密情况下才会发送
		第三方cookie
			cookie的域域地址栏中的域不匹配
				通常用在第三方广告网站,为了追踪记录收集浏览习惯

Código de estado

		1XX
			提供信息
		2XX
			请求被成功提交
		3XX
			客户端被重定到其他资源
		4XX
			请求包含某种错误
		5XX
			服务器执行请求遇到错误

Código de estado especial

			100Continue
				表示已经收到请求消息头
			200OK
				成功提交请求
			201Created
				put请求已经成功提交
			301Moved Permanently
				将浏览器永久重定向另外一个在Location消息头中制定的URL ,之后的客户端使用新的URL替换原有的
			302found
				恢复原始URL
			304NOT Modifide
				使用缓存中保存的所请求的资源的副本
			400 Bad Request
				提交了一个无效的HTTP请求
			401 Unauthorized
				HTTP身份验证
			403 Forbidden
				不管是否通过身份验证,禁止任何人访问被请求资源,主页没有配置
			404 Not Found
				资源已经被删除
			405 Method Not Allowed
				指定URL不接受请求中使用的方法
			413 Request Entity Too Large
				请求主体过长
			414 Request URI Too long
				请求中URL过长
			500 Internal Server Error
				服务器执行请求时遇到错误
					仔细检查响应内容
			503Service Unavaiable
				web服务器正常,应用程序无法响应
					检查网关,服务器,中间件

HTTPS

		使用普通非加密TCP作为传输机制,安全传输机制是安全套接层SSL

autenticación http

		Basic
			请求消息头中随每条信息以Base64编码字符串形式发送用户证书
		NTLM
			NTLMV2 与Kerberos验证体系
		Digest
			响应式机制

Codificación de aplicaciones web

Codificación de URL (muchas herramientas pueden convertir)

		%3d
			=
		%25
			%
		%20和+
			空格
		%0a
			换行
		%00
			空字节

Codificación Unicode

Codificación HTML

		跨站脚本漏洞时发挥作用

Base64

Codificación hexadecimal

	远程和序列化框架

Punto de conocimiento

	静态 动态语言区别
		动态语言:服务端和客户端代码不一致(如 html) 
		静态语言:服务端和客户端代码一致(如: asp,php,aspx,jsp) 
	3.3.1 常见的脚本语言有那些 
		asp 、php、 aspx、 jsp、 cgi、 war、 do、 py、 pl 
	3.3.1 常见的数据库有那些 
		 access mysql mssql(sqlserver) oracle postsql db2 
	3.3.1 常见的数据库与脚本语言搭配 
		asp+access,asp+mssql,php+mysql,aspx+mssql aspx+oracle,jsp+oracle, jsp+mssql 等 
	3.3.1 系统、脚本语言、中间件如何组合 
		Windows2003/2008/2012+asp、aspx、php+iis6.0/7.0+7.5 
		Apache+Windows/Linux+PHP Windows/Linux+Tomcat+JSP 
	3.3.1 渗透测试过程中如何查看对方网站平台 
		1、工具(RASS、天镜、NMAP、X-SCAN) 2、第三方平台(seo.chinaz.com) 3、通过 ping 观看 TTL 值
Gentle Little Xue
Publicado 94 artículos originales · elogiado 8 · visitas 5219
carta privada preocupaciones

Supongo que te gusta

Origin blog.csdn.net/weixin_43079958/article/details/105420684
Recomendado
Clasificación
Diario
Más
2024-05-04(17)
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)
2024-04-30(33)
2024-04-29(5)
2024-04-28(9)
2024-04-27(28)
2024-04-26(22)
2024-04-25(34)

Code World

© 2018 codetd.com