随笔分类 - 04http与https
摘要:1、介绍 2、https建立过程 (1)客户端向服务端请求证书,其中包括公钥和发证机构,所属者,以及有效时间等。 (2)客户端向证书机构,获取证书hash,验证是否正确 (3)客户端基于公钥,对接下来的对称加密的秘钥进行加密,发送给服务端 (4)服务端用自己的私钥进行解密,获取到对称加密的秘钥 (5
阅读全文
摘要:1、介绍 http本身是无状态的,但实际业务中往往需要http请求表明请求者的身份和状态等信息,cookie是该问题的一种解决方案。(另外的包括session、token、浏览器localstorage) cookie本质是一个对象,具有name、value等属性。 一般由服务端创建,然后基于响应头
阅读全文
摘要:内容安全策略CSP(Content-Security-Policy)_Cacra的博客-CSDN博客_content-security-policy 1、介绍 Content-Security-Policy,简称csp,是为解决xss设计的。 CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些
阅读全文
摘要:1、Date 属于响应头部字段,用于表明http响应报文在服务端生成的时间,必须是GMT格式 Date: Thu, 20 Oct 2022 05:56:41 GMT 2、Expires 属于响应头部字段,声明该响应资源的过期时间,到期后客户端应该重新请求。 expires: Fri, 01 Jan
阅读全文
摘要:1、Host Host属于请求头部字段,用于表示请求报文的url的主机和端口情况。 如果端口是协议默认端口,可以省略,也可以保留。 Host: www.baidu.com Host: www.hbjycg.com:8080 2、Referer referer用于表明发起请求的框架url,包含完整的u
阅读全文
摘要:1、User-Agent User-Agent用于表明浏览器的情况,包括操作系统,浏览器类型及版本,浏览器内核和版本 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko
阅读全文
摘要:1、协议/版本 协议一般为http,注意http报文中不区分http/https,或者只是http http版本主要有0.9、1.0、1.1和2.0,目前浏览器一般具备和使用1.1. 版本用于指导浏览器和服务器通信过程中涉及的请求方法和头部字段,一般来说,后者版本实现向前覆盖,增加请求方法和头部字段
阅读全文
摘要:1、介绍 一共有九种,在请求报文中是全大写。http1.0定义head、get和post,http1.1增加其余六种。 如果在burp的repeater模块,小写请求方法,常见的是会报400异常。必须全大写 在wireshark和浏览器中,请求方法都是大写。 2、GET 用于请求资源。场景: 超链接
阅读全文
摘要:1、介绍 http响应状态码在响应报文中,由服务端设置返回给客户端,是一个三位数字的代号,用于说明请求处理情况。 而描述符是一个简短的文本,与状态码一 一对应,进行简单描述。 响应状态码可以分为五类:1xx、2xx、3xx、4xx和5xx。每一个分类为整百,表示该类核心意义。 2、1xx (1)10
阅读全文
摘要:1、session session机制是服务器将需要在不同请求间沟通的数据保存在服务端,这块内容称为session,而仅仅将session的id返回给浏览器,浏览器下次请求时携带id,服务端在其本地进行读取解析。 比较: 信息存储在客户端,有危险。而session的信息存储在服务端 cookie有大
阅读全文
摘要:参考:https://developer.mozilla.org/zh-CN/docs/Web/HTTP 1、Accept和Content-Type (1)Accept Accept字段用于在请求中向服务器告知浏览器期待接受的mime响应类型。 对于没有文件后缀名的接口请求来说,浏览器默认是设置为*
阅读全文
摘要:HTTP | MDN (mozilla.org) 第一章 HTTP协议及网络基础 · HTTP 协议学习 · 看云 (kancloud.cn) 1、介绍 http,hypertext transfer protocol超文本传输协议,是www网络的重要组成部分,用于浏览器和服务器的应用层通信。 默认
阅读全文