GET与POST方法和用curl命令执行
1.超文本传输协议
超文本传输协议(HTTP)的设计目的是保证客户机与服务器之间的通信,web 浏览器可能是客户端,而计算机上的网络应用程序也可能作为服务器端。
HTTP的工作方式是客户机与服务器之间的请求-应答协议,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,
因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。
在使用网页浏览器(web browser)时候的流程,我们首先在浏览器中的地址栏中输入URL(Uniform Resource Locator 统一资源定位符 简单来说是网址),浏览器根据URL从web服务器端获取文件资源,从而显示出web页面。
在上面过程中web使用的协议规范就是HTTP:
2.GET,POST请求
HTTP中的GET,POST,PUT,DELETE对应着对这个资源的查,改,增,删4个操作。GET一般用于获取/查询资源信息,而POST一般用于更新资源信息。
1.根据HTTP规范,GET用于信息获取,而且应该是安全的和幂等的。
(1).安全的意味着该操作用于获取信息而非修改信息。GET 请求仅仅是获取资源信息,不会非修改信息。
(2).幂等的意味着对同一URL的多个请求应该返回同样的结果。
2.根据HTTP规范,POST表示可能修改变服务器上的资源的请求
读者对新闻发表自己的评论应该通过POST实现,因为在评论提交后站点的资源被修改了。
1.对资源的增,删,改,查操作,都可以通过GET/POST完成,不需要用到PUT和DELETE。
2.早期的Web MVC框架设计者们并没有有意识地将URL当作抽象的资源来看待和设计,所以传统的Web MVC框架基本上都只支持GET和POST两种HTTP方法,而不支持PUT和DELETE方法。
3.从表面现像到原理去看GET和POST的区别
1.
表象:
GET请求的数据会附在URL之后(就是把数据放置在HTTP协议头中),以?分割URL和传输数据,参数之间以&相连,如:https://www.sogou.com/sogou?prs=5&rfg=1&query=111+111&pid=AQktG&ie=utf8。
如果数据是英文字母/数字,原样发送,如果是空格,转换为+,如果是中文/其他字符,则直接把字符串用BASE64加密,得出如:%E4%BD%A0%E5%A5%BD,其中%XX中的XX为该符号以16进制表示的ASCII。
POST把提交的数据则放置在是HTTP包的包体中,即在FORM(表单)中。
原理:
get是把参数数据队列加到提交表单的ACTION属性所指的URL中,值和表单内各个字段一一对应,在URL中可以看到。
post是通过HTTP post机制,将表单内各个字段与其内容放置在HTML HEADER内一起传送到ACTION属性所指的URL地址,用户看不到这个过程。
2.
(1).首先是"GET方式提交的数据最多只能是1024字节",因为GET是通过URL提交数据,那么GET可提交的数据量就跟URL的长度有直接关系了。
而实际上,URL不存在参数上限的问题,HTTP协议规范没有对URL长度进行限制,这个限制是特定的浏览器及服务器对它的限制。
IE对URL长度的限制是2083字节(2K+35)。对于其他浏览器,如Netscape、FireFox等,理论上没有长度限制,其限制取决于操作系统的支持。
注意这是限制是整个URL长度,而不仅仅是你的参数值数据长度。
(2).理论上讲,POST是没有大小限制的,HTTP协议规范也没有进行大小限制,说“POST数据量存在80K/100K的大小限制”是不准确的,POST数据是没有限制的,起限制作用的是服务器的处理程序的处理能力。
对于ASP程序,Request对象处理每个表单域时存在100K的数据长度限制。但如果使用Request.BinaryRead则没有这个限制。
在IIS 6.0之前没有这些限制,而对于IIS 6.0,微软出于安全考虑,加大了限制,我们还需要注意:
- IIS 6.0默认ASP POST数据量最大为200KB,每个表单域限制是100KB。
- IIS 6.0默认上传文件的最大大小是4MB。
- IIS 6.0默认最大请求头是16KB。
3.
原理:
对于get方式,服务器端用Request.QueryString获取变量的值,对于post方式,服务器端用Request.Form获取提交的数据。在JSP中,用request.getParameter(\"XXXX\")来获取,虽然jsp中也有request.getQueryString()方法,但使用起来比较麻烦,比如:传一个test.jsp?name=hyddd&password=hyddd,用request.getQueryString()得到的是:name=hyddd&password=hyddd。在PHP中,可以用$_GET和$_POST分别获取GET和POST中的数据,而$_REQUEST则可以获取GET和POST两种请求中的数据。值得注意的是,JSP中使用request和PHP中使用$_REQUEST都会有隐患
4.
原理:
POST的安全性要比GET的安全性高。注意:这里所说的安全性和上面GET提到的“安全”不是同个概念。上面“安全”的含义仅仅是不作数据修改,而这里安全的含义是真正的Security的含义,比如:通过GET提交数据,用户名和密码将明文出现在URL上,因为
- 登录页面有可能被浏览器缓存
- 其他人查看浏览器的历史纪录,那么别人就可以拿到你的账号和密码了
- 使用GET提交数据还可能会造成Cross-site request forgery攻击。
4.curl命令
4.1简介
linux系统下可以用curl和wget命令来模拟Http的请求。
curl不仅仅可以模拟Http的请求,它是一个工具,用于传输来自服务器或者到服务器的数据。「向服务器传输数据或者获取来自服务器的数据」
可支持的协议有(DICT、FILE、FTP、FTPS、GOPHER、HTTP、HTTPS、IMAP、IMAPS、LDAP、LDAPS、POP3、POP3S、RTMP、RTSP、SCP、SFTP、SMTP、SMTPS、TELNET和TFTP)。
curl提供了大量有用的技巧,比如代理支持、用户身份验证、FTP上传、HTTP post、SSL连接、cookie、文件断点续传、Metalink等等。
假设目标url 为:127.0.0.1:8080/login
使用curl发送GET请求:curl protocol://address:port/url?args
curl http://127.0.0.1:8080/login?admin&passwd=12345678
使用curl发送POST请求:curl -d "args" protocol://address:port/url
curl -d "user=admin&passwd=12345678" http://127.0.0.1:8080/login
这种方法是参数直接在header里面的,如需将输出指定到文件可以通过重定向进行操作.
curl -H "Content-Type:application/json" -X POST -d 'json data' URL
curl -H "Content-Type:application/json" -X POST -d '{"user": "admin", "passwd":"12345678"}' http://127.0.0.1:8000/login
4.2 Curl命令的data, data-ascii, data-binary, data-raw和data-urlencode详解
首先说明如下给出的选项的相同点
- 模拟Web页面中提交表单,用于POST请求
- 默认Content-type为application/x-www-form-urlencoded
- 选项的value如果是@a_file_name,表示数据来自一个文件
- 选项的value如果是-,表示读取stdin作为提交的数据,即从标准输入设备即时提供数据值
不同点
1) -d,--data key=value
数据为纯文本数据。
value如果是@a_file_name,表示数据来自一个文件,文件中的回车符和换行符将被转换
示例:
curl -X POST -d mykey1=myvalue1 http://myapi.url.com curl -X POST -d mykey1=myvalue1 -d mykey2=myvalue2 http://myapi.url.com curl -X POST -d 'mykey1=myvalue1&mykey2=myvalue2' http://myapi.url.com curl -X POST -H Content-Type:application/x-www-form-urlencoded -d 'mykey1=myvalue1&mykey2=myvalue2' http://myapi.url.com curl -X POST -H Content-Type:application/json -d '{"mykey1": "myvalue1", "mykey1": "myvalue2"}' http://myapi.url.com curl -X POST -H Content-Type:application/x-www-form-urlencoded -d mykey1=@myvalue1_from_file http://myapi.url.com
2) --data-ascii <key=value>
完全等价于-d
3) --data-binary key=value
HTTP POST请求中的数据为纯二进制数据
value如果是@file_name,则保留文件中的回车符和换行符,不做任何转换
4) --data-raw key=value
@也作为普通字符串,不会作为文件名给出文件名的标志。即value如果是@file_name,只表示值为“@file_name”的字符串。
其他等价于-d
5) --data-urlencode key=value
先对数据进行URL编码,再发送给HTTP服务器,即对表单中的字段值进行URL编码后再发送。
为了兼容CGI,格式为“name+分隔符+content”,如下所示:
name=content,将content进行URL编码,然后提交给HTTP服务器
=content,同上,只是未给出引用的name
content,同上,注意content中不能包含=和@符号
name@filename,从文件filename中读取数据(包括换行符),将读取的数据进行URL编码,然后提交给HTTP服务器
@filename,同上
其他等价于-d
补充-F, --form选项
模拟发送表单,默认即POST,且默认Content-Type:multipart/form-data。
示例:
curl -F mykey1=myvalue1 -F mykey2=myvalue2 http://myapi.url.com curl -F myfile1=@file_name1 -F myfile1=@file_name2 http://myapi.url.com curl -X POST -H Content-Type:multipart/form-data -F myfile1=@file_name1 -F myfile1=@file_name2 http://myapi.url.com
完结!!