基础之http和https协议概述 – 作者:zhijian

第一部分:http协议

1.1. http协议的作用

比较官方的解释是:

HTTP协议(HyperText Transfer Protocol,超文本传输协议)是因特网上应用最为广泛的一种网络传输协议,所有的WWW文件都必须遵守这个标准.http属于应用层协议

简单来说,就是定义了客户端怎么通过互联网从服务端获取数据的方式.

说的通俗一点,这个过程就好像你(client客户端)超市(server服务端)买东西(你请求的数据) ,你买完了,总要把东西装回来吧,那么http协议就是定义了你从超市到底用什么样的袋子把东西装回来的协议.

图片[1]-基础之http和https协议概述 – 作者:zhijian-安全小百科1.2.URI和URL介绍

URI (Universal Resource Identifier) 统一资源标志符,用来标识抽象或物理资源的一个紧凑字符串。而URI包含URL和URN两种定位方式.
URL (Universal Resource Locator)  统一资源定位符(应用广泛),一种定位资源的主要访问机制的字符串,一个标准的URL必须包括:protocol、host、port、path、parameter、anchor。
URN (Universal Resource Name)统一资源名称,通过特定命名空间中的唯一名称或ID来标识资源(用的比较少)。
图片[2]-基础之http和https协议概述 – 作者:zhijian-安全小百科

1.3.HTTP请求和响应基本格式

图片[3]-基础之http和https协议概述 – 作者:zhijian-安全小百科

1.4.http请求内容

图片[4]-基础之http和https协议概述 – 作者:zhijian-安全小百科

(1)请求行内容解析

请求行只有第一行,按照空格分为3段.

第一段:用来说明请求的方式,(这个就好像你买东西时候的方式,用手推车还是手拉筐).

常见的请求方式有GET/POST/HEAD/TRACE/PUT/OPTIONS,当然这里用的最多的还是GET和POST.

GET方法的作用在于从服务器获取资源。
POST方法用于向服务器提交数据
除了GET和POST方法以外,HTTP协议还支持许多其他因特殊目的而建立的方法。需要了解的其他方法如下
HEAD。这个方法的功能与GET方法相似,不同之处在于服务器不会在其响应中返回消息主体。
TRACE。回显服务器收到的请求,主要用于测试或诊断。
OPTIONS。这种方法要求服务器报告对某一特殊资源有效的HTTP方法(支持的http方法)。
PUT。这个方法试图使用包含在请求主体中的内容,向服务器上传指定的资源

第二段:用来说明请求的资源位于服务器的地址

第三段:用来说明http协议的版本

(2)请求头内容解析

参考这个请求,我们来解析一下出现的字段

  • Host消息头用于指定出现在被访问的完整URL中的主机名称
  • User-Agent这个消息头指浏览器或生成请求的客户端软件有关的信息
  • Accept 这个消息头用于告诉服务器客户端愿意接受哪些内容,如图像类型、文档格式等
  • Accept-Language 用于声明服务器浏览器可以支持什么语言
  • Accept-Encoding 这个消息头用于告诉服务器,客户端愿意接受哪些内容编码
  • Referer 这个消息头用于指示提出当前请求的原始URL(从哪个URL跳转过来)
  • Cookie 提交此前服务器向客户端发送的其他参数(服务器使用Set-Cookie消息头来设置Cookie,一般用于身份验证)
  • Connection 通知通信的另一方,是否在完成HTTP传输后关闭TCP连接.close关闭;keepalive不关闭.
    If-Modified-Since这个消息头用于说明浏览器最后一次收到所请求的资源的时间

(3)空行:是必须存在的,用来分开http头和http主体

(4)请求信息主体:根据需要会被填充

 

1.5.HTTP响应

图片[5]-基础之http和https协议概述 – 作者:zhijian-安全小百科(1)响应行

      每个HTTP响应的第一行由3个以上、空格间隔的项目组成。包括:

  • 使用的HTTP版本
  • 表示请求结果的数字状态码(状态码解析请向下看)
  • 一段文本形式的“原因短语”

(2)响应头

  • Server 这个消息头提供所使用的Web服务器软件的相关信息。
  • Date 响应返回的时间,GMT代表格林威治时间(北京市位于东8区,计北京时间要加8小时)
  • Set-Cookie 这个消息头用于向浏览器发布cookie,浏览器会在随后的请求中将其返回给服务器。
  • Expires这个消息头用于向浏览器说明消息主体内容的有效时间。
  • Connection 这个消息头用于告诉通信的另一端,在完成HTTP传输后是关闭TCP连接,还是保持连接开放以接收其他消息。
  • Content-Type 这个消息头用于规定消息主体的内容类型。(解析:Internet Media Type,互联网媒体类型;也叫MIME类型,在Http协议消息头中,使用Content-Type来表示请求报文中的数据格式类型).  
           例如,HTML文档的内容类型为text/html
  • Content-Length 这个消息头用于规定消息主体的字节长度

(3)空行:必须存在,用来区分响应头和响应主体

(4)响应主体:服务器端回复给客户端的数据

 

1.6.HTTP消息状态码

状态码 说明 原因短语
1XX Information信息状态码 客户端提供信息,接收的请求正在处理
2XX Success成功 请求正常并成功提交
3XX Redirection重定向 客户端被重定向到其他资源,需要继续操作
4XX ClientError客户端错误 请求包含某种错误
5XX ServerError服务端错误 服务器处理请求时,遇到错误
  • 常见状态码解析:

  • 100:Continue,客户端应重新发送初始请求,并在请求中附上第一次请求时未提供的(可能很大或者包含敏感信息的)表示。客户端这次发送的请求不会被拒绝
  • 200:OK,表示服务器成功执行了客户端所请求的动作
  • 201:Created,被创建。当服务器依照客户端的请求创建了一个新资源时,发送此响应代码
  • 204:Accept,已接受请求,但是还没处理完成.若服务器拒绝对PUT、POST或者DELETE请求返回任何状态信息或表示,那么通常采用此响应代码。服务器也可以对GET请求返回此响应代码,这表明“客户端请求的资源存在,但其表示是空的”
  • 301:Moved Permanently,永久跳转(重定向)——服务器知道客户端试图访问的是哪个资源,但它不喜欢客户端用当前URI来请求该资源。它希望客户端记住另一个URI,并在今后的请求中使用那个新的URI
  • 302:Found,临时跳转,重定向地址或文档已经被找到
  • 304:Not Modified,缓存响应。请求的资源没有被修改,服务器不返回任何新的信息。
  • 400:Bad Request,错误的请求,客户端请求语法错误,服务端无法解析(比如没有空行)。
  • 401:Unauthorized,用户身份未验证。
  • 403:Forbidden,没有权限访问服务器的某些资源(服务器已经理解请求,但是拒绝执行)。
  • 404:Not Found,请求资源没找到。
  • 405:Method Not Allowed,请求方法不允许
  • 413:Request Entity Too Large,请求实体太大
  • 414:Request URI Too Long,请求URL太长
  • 500:Interval Server Error,内部服务器错误
  • 502:Bad Gateway,服务器响应超时
  • 503:Server Unavailable,服务不可用,无法响应客户端请求。临时服务器维护或负载,暂时无法处理请求(可能会恢复)

第二部分:https协议

2.1 HTTPS协议介绍

1.  由于http协议在传输过程中存在一个致命缺点—-使用明文传输,所以一旦被捕获数据包,比如用户名和密码等敏感信息都可以直接读取到.

也就是你买了个金戒指,但是用透明的塑料袋装的,走在街上是不是担心随时被偷? 使用http协议就相当于让你的原始数据在”裸奔”!!!

所以https协议应运而生.

2.  HTTPS是在HTTP的基础上和ssl/tls证书结合起来的一种协议,保证了传输过程中的安全性,数据即便被捕获,也不能被破解.所以在很多电商/银行/企业等网站,https加密传输就显得尤为重要.

3.  HTTPS其实是HTTP+SSL/TLS协议共同实现.  HTTPS是在传输层和应用层中间又加入了SSL(安全套接字层),使用这个协议来完成对数据的加密. 而TLS可以看做SSL的升级版.

      这里我们不详细研究协议,主要讲协商的大致流程.

   

2.2 HTTPS协议协商过程

图片[6]-基础之http和https协议概述 – 作者:zhijian-安全小百科

来源:freebuf.com 2020-07-09 01:53:38 by: zhijian

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论