【基础协议】HTTP/HTTPS协议及其工作流程
目录
- 1 HTTP协议与HTTPS协议
- 1.1 HTTP协议概述
- 1.2 HTTPS协议概述
- 1.3 HTTPS与HHTP区别
- 2 URI和URL相关知识
- 2.1 URI统一资源标识符
- 2.2 URL统一资源定位符
- 2.2.1 URL格式
- 2.2.2 URL编码
- 3 通信过程
- 3.1 HTTP通信过程
- 3.2 HTTPS通信过程
- 3.3 代理服务器的影响
- 4 报文组成
- 4.1 Requeset请求报文
- 4.2 Reponse响应报文
- 4.3 浏览器报文查看
- 4.4 报文分析工具
- 5 同源策略
- 5.1 同源策略的条件
- 6 归纳
- 参考文章
1 HTTP协议与HTTPS协议
1.1 HTTP协议概述
(1)定义:HTTP协议是超文本传输协议的缩写,英文是Hyper Text Transfer Protocol。它是从WEB服务器传输超文本标记语言(HTML)到本地浏览器的传送协议。
(2)作用:设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。
(3)原理:
- 1)HTTP是一个基于TCP/IP通信协议来传递数据的协议,传输的数据类型为HTML文件、图片文,查询结果等。
- 2)HTTP协议一般用于B/S架构(浏览器/服务器)。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。
(4)特点:
- 1)http协议支持浏览器/服务器模式,也是一种请求/响应模式的协议。
- 简单快速:浏览器向服务器提出请求时,只需传送请求方法和路径(路径即理解资源的名字及路径)。请求方法常用的有GET、HEAD、POST。
- 灵活:HTTP允许传输任意类型的数据对象,如·html,JPG和mp3。传输的类型由Content-Type加以标记。
- 无连接:限制每次连接只处理一个请求。服务器处理完请求,并收到客户的应答后,即断开连接,但是却不利于客户端与服务器保持会话连接,为了弥补这种不足,产生了两项记录http状态的技术,一个叫做Cookie,一个叫做Session。
- 无状态:无状态是指协议对于事务处理没有记忆,后续处理需要前面的信息,则必须重传。
(5)缺点:
- 请求信息明文传输,容易被窃听截取。
- 数据的完整性未校验,容易被篡改。
- 没有验证对方身份,存在冒充危险。
1.2 HTTPS协议概述
(1)定义:HTTPS 协议(HyperText Transfer Protocol over Secure Socket Layer):一般理解为HTTP+SSL/TLS,通过 SSL证书来验证服务器的身份,并为浏览器和服务器之间的通信进行加密。
(2)SSL与TLS:
- 1)SSL(Secure Socket Layer,安全套接字层):1994年为 Netscape 所研发,SSL 协议位于 TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。
- 2)TLS(Transport Layer Security,传输层安全):其前身是 SSL,它最初的几个版本(SSL 1.0、SSL 2.0、SSL 3.0)由网景公司开发,1999年从 3.1 开始被 IETF 标准化并改名,发展至今已经有 TLS 1.0、TLS 1.1、TLS 1.2 三个版本。SSL3.0和TLS1.0由于存在安全漏洞,已经很少被使用到。TLS 1.3 改动会比较大,目前还在草案阶段,目前使用最广泛的是TLS 1.1、TLS 1.2。
(3)缺点:
- HTTPS协议多次握手,导致页面的加载时间延长近50%;
- HTTPS连接缓存不如HTTP高效,会增加数据开销和功耗;
- 申请SSL证书需要钱,功能越强大的证书费用越高。
- SSL涉及到的安全算法会消耗 CPU 资源,对服务器资源消耗较大。
1.3 HTTPS与HHTP区别
(1)HTTPS是HTTP协议的安全版本,HTTP协议的数据传输是明文的,是不安全的,HTTPS使用了SSL/TLS协议进行了加密处理。
(2)http和https使用连接方式不同,默认端口也不一样,http是80,https是443。
2 URI和URL相关知识
2.1 URI统一资源标识符
HTTP使用统一资源标识符(Uniform Resource Identifiers, URI)来传输数据和建立连接。
URI:Uniform Resource Identifier 统一资源标识符。是用来标示 一个具体的资源的,我们可以通过 URI 知道一个资源是什么。
2.2 URL统一资源定位符
URL:Uniform Resource Location 统一资源定位符即网址。是用来定位具体的资源的,标示了一个具体的资源位置。互联网上的每个文件都有一个唯一的URL。简单理解为,URL用于告诉Web容器,浏览器所请求资源(文件)的路径,例如http://localhost/test/require.php?name=ajest
。
2.2.1 URL格式
格式为schema://username:password@address:port/path to resource/?query_string#fragment
- schema:使用的协议
- username:password:用户名及密码,匿名访问时,默认没有这两个内容;当需要身份认证时,没有这两个内容,会有身份认证的弹窗
- address:地址,包括IP地址和域名
- port:端口号,当使用协议的默认端口号时,可以省略,其他端口号需要加上
- path to resource:资源的路径
- query_string:查询字符串,前面需要加?
- fragment:锚点(实现页面内定位),前面需要加#
2.2.2 URL编码
(1)URL中允许出现的字符是有限制的,URL中path开始允许直接出现A-Z、a-z、0-9、半角减号(-)、下划线、句点(.)、波浪号(~).而其他字符均会被百分号编码。如下:
#
%23
[ ]
空格为%20
(2)URL编码为%加上ASCII编码的十六进制。例子,警号(#)的ASCII编码为35,那么它的URL编码为啥是%23。URL编码是16进制,35转化为十六进制是23.
(3)那么如何查询其他字符的URL编码呢?打开kali系统中的burpsuit工具,按如下方式可查看编码以及解码
(4)在进行编程的时候,一般会用加号(+)代替空格
(5)在进行URL编码时,一般是针对英文、数字及各种符号,因此不要随便用中文。
3 通信过程
3.1 HTTP通信过程
(1)浏览器建立与WEB服务器之间的连接;
(2)浏览器将请求数据打包(生成请求数据包)并发送给WEB服务器;
(3)WEB服务器将处理结果打包(生成相应数据包)并发给浏览器;
(4)WEB服务器关闭连接。
3.2 HTTPS通信过程
(1)首先客户端通过URL访问服务器建立SSL连接。
(2)服务端收到客户端请求后,会将网站支持的证书信息(证书中包含公钥)传送一份给客户端。
(3)客户端和服务器开始协商SSL连接的安全等级,也就是信息加密的等级。
(4)客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
(5)服务器利用自己的私钥解密出会话密钥。
(6)服务器利用会话密钥加密与客户端之间的通信。
3.3 代理服务器的影响
(1)无代理服务器。客户端给WEB服务器直接发送请求,并接收WEB服务器的应答。
(3)有代理服务器。客户端先给代理服务器发送请求,代理将请求转给WEB服务器,代理接收服务器的应答,并将应答转给客户端。在这个过程中,代理可以实现对请求和应答的修改。
4 报文组成
web应用的所有通信的消息都要遵守HTTP协议的规范和要求
4.1 Requeset请求报文
(1)请求报文的构成:一个HTTP请求报文由请求行(request line)、请求头部(header)、空行和请求数据4个部分组成
- 1)请求行:由三部分组成:请求方法、资源路径、协议/版本。例:GET /index.html HTTP/1.1。
①方法为GET,②资源路径为index.html,③协议/版本为HTTP/1.1. - 2)请求头(Request Header):请求头部由关键字/值对组成,每行一对,关键字和值用英文冒号“:”分隔,从请求报文第二行开始到第一个空行为止之间的内容。请求头部通知服务器有关于客户端请求的信息,典型的请求头字段有:
①Host:用于指定被请求资源的Internet主机和端口号,允许多个域名同处一个IP地址,即虚拟主机。
② User-Agent:浏览器指纹,产生请求的浏览器类型。
③Referer:包含一个URL,代表当前URL的上一个URL,即我们这个请求是从哪一个页面跳转过来的
④Cookie:记录请求者的身份认证信息
⑤Accept:客户端可识别的内容类型列表。
⑥Content-Type:用于向接收方指示实体的介质类型,即数据类型
⑦Content-Length:用于指明实体正文的长度,以字节方式存储的十进制数字来表示。
⑧Last-Modified:用于指示资源的最后修改时间和日期。
- 3)空行:请求头与请求体之间用一个空行隔开。发送回车符和换行符,通知服务器以下不再有请求头。
- 4)请求正文:要发送的数据(一般post方式会使用)。
(2)请求报文的例子:
(3)常见请求方法:
- GET:是最常用的方法,通常用于请求服务器发送某个资源。
- POST:可以向服务器提交数据(例如提交表单或者上传文件)。数据被包含在请求体中。POST请求可能会导致新的资源的创建和/或已有资源的修改。
- HEAD:HEAD就像GET,只不过服务端接受到HEAD请求后只返回响应头,而不会发送响应内容。这一方法可以在不必传输整个响应内容的情况下,就可以获取包含在响应消息头中的元信息。
- PUT:向指定资源位置上传其最新内容。与get从服务器读取文档相反,PUT方法会向服务器写入文档。
- OPTIONS:请求服务器返回针对特定资源所支持的HTTP方法。请求web服务器告知其支持的各种功能。
- DELETE:请求web服务器删除请求URL所指定的资源。
- TRACE:回显服务器收到的请求,主要用于测试或诊断。
- CONNECT:HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。
注意,如果服务器开启了PUT、TRACE、DELETE中的任意一个,我们就认为服务器有很大的安全风险。
(4)post和get的区别:
- 都包含请求头请求行,post多了请求body。
- get多用来查询,请求参数放在url中,不会对服务器上的内容产生作用
- post用来提交,如把账号密码放入body中。
- GET是直接添加到URL后面的,直接就可以在URL中看到内容,而POST是放在报文内部的,用户无法直接看到。
- GET提交的数据长度是有限制的,因为URL长度有限制,具体的长度限制视浏览器而定。而POST没有。
(5) 实验1:利用telnet模拟浏览器发送http请求
思路: telnet连接到服务器后就相当于与服务器建立了连接,之后就是构造一个http请求报文
- 1)与服务器建立连接
telnet 172.16.1.1 80
- 2)输入
CTRL+]
打开回显功能
- 3)将下述请求复制到命令窗口中。即可得到服务器的响应。
GET /PHP/var.php HTTP/1.1Host:172.16.1.1
实验2:利用telnet传送GET参数
第1步和第2步与上述实验1一样,第三步的请求报文如下(在请求行中加上传递的参数):
GET /PHP/var.php?name=a$pwd=1 HTTP/1.1Host:172.16.1.1
实验2:利用telnet模拟post
4.2 Reponse响应报文
(1)访问一个网页时,浏览器会向web服务器发出请求。此网页所在的服务器会返回一个包含HTTP状态码的信息头用以响应浏览器的请求。
(2)响应报文构成:HTTP响应也由三个部分组成,分别是:状态行、响应头、响应正文
状态行:协议/版本、状态码(三位的数字)和状态描述短语(如OK),各元素之间以空格间隔。
响应头:包括服务器类型、日期、长度、内容类型等。从第二行开始到第一个空行为止的所有内容。所包含的主要字段
①server:服务器指纹
②set-cookie:向浏览器端设置cookie
③Content-Length:正文的长度
④Last-Modified:服务器通过这个信息告诉浏览器,资源的最后修改时间
⑤Refresh:服务器通过Refresh头告诉浏览器定时刷新浏览器
响应正文:服务器返回资源的内容,及浏览器接收到的HTML代码。
(3)响应报文例子:
(3)响应状态码:
- 1XX- 信息型,服务器收到请求,需要请求者继续操作。
- 2XX- 成功型,请求成功收到,理解并处理。
- 3XX - 重定向,需要进一步的操作以完成请求。
- 4XX - 客户端错误,请求包含语法错误或无法完成请求。
- 5XX - 服务器错误,服务器在处理请求的过程中发生了错误。
(4)常见状态码:
- 200 OK - 客户端请求成功
- 301 - 资源(网页等)被永久转移到其它URL
- 302 - 临时跳转
- 400 Bad Request - 客户端请求有语法错误,不能被服务器所理解
- 401 Unauthorized - 请求未经授权,这个状态代码必须和WWW-Authenticate报头域一起使用
- 403-拒绝或者禁止访问
- 404 - 请求资源不存在,可能是输入了错误的URL
- 500 - 服务器内部发生了不可预期的错误
- 503 Server Unavailable - 服务器当前不能处理客户端的请求,一段时间后可能恢复正常。
4.3 浏览器报文查看
查看网页报文。在浏览器按F12,查看网页源码,可以按以下步骤查看通信报文情况。
4.4 报文分析工具
(1)F12
(2)wireshark
(3)fiddler
(4)burp suite·
5 同源策略
5.1 同源策略的条件
(1)URL的主机(FQDN全称域名)一致
(2)schema协议一致
(3)端口号一致
同源策略的保护对象不仅仅是iframe内的文档。比如,实现Ajax时所使用的XMLHttpRequest对象能够访问的URL也受到了同源策略的限制。
例子:
当在浏览器中输入http://172.16.132.161/sop/index.php
访问下面的这个页面时,可以成功的访问到iframe中的内容,但是当在浏览器中输入http://localhost/sop/index.php
访问下面的这个页面时,无法访问到iframe中的内容。这是由于iframe中的内容网址的域名是172.16.132.161,而不是localhost,JS只能读同一个域下的网页。
6 归纳
(1)了解HTTP/HTTPS的联系与区别及各自的优缺点。
(2)对比了解HTTP/HTTPS的通信过程。
(3)了解URI与URL的定义及区别。
(4)对比了解Requeset请求报文和Reponse响应报文的组成。
参考文章
[1] 《HTTP请求报文和HTTP响应报文》
[2] 《第二天数据包拓展》
[3] 《【基础补充】http/https协议及通信过程》
【基础协议】HTTP/HTTPS协议及其工作流程相关推荐
- 什么是HTTPS协议?HTTPS协议优势有哪些?
我们在浏览网站的时候会发现有的网站URL是以HTTP开头,而有的是以HTTPS开头的,通常网站的URL会分为两部分:通信协议和域名地址.域名地址我们好理解,不同的域名对应着不同网站和页面,而通信协议简 ...
- 网络编程知识预备(4) ——了解应用层的HTTP协议与HTTPS协议
参考:简单了解HTTP协议与HTTPS协议 作者:丶PURSUING 发布时间: 2021-03-15 10:55:13 网址:https://blog.csdn.net/weixin_4474282 ...
- HTTP协议,HTTPS协议,SSL/TLS协议概述
HTTP协议,HTTPS协议,SSL/TLS协议概述 1. 什么是HTTP协议 HTTP(Hyper Text Transfer Protocol,HTTP)协议超文本传输协议,是一个基于请求与响 ...
- 在Tomcat下http协议转https协议
Tomcat下http协议转https协议,在腾讯云下载的免费SSL证书 最近在搞微信小程序的支付问题,但是调用支付接口的规则是传输规则是必须为https传输,因为我本身是Javaweb项目,发布在T ...
- PB使用http协议、https协议(简单便捷)
PB使用HTTP协议.HTTPS协议 PB自身也有http组件,但使用起来较为繁琐.VDN作者将http功能通过API的形式封装为HttpClient组件,PB直接调用即可,支持http及https协 ...
- 说说 Http协议与https协议区别
Http协议与https协议区别: 1:https协议需要到ca申请证书,一般免费的证书比较少,一般都需要交费 2:http是超文本传输,信息是文明 传输,https则具备有安全性的ssl加密传输协议 ...
- SSL协议(HTTPS) 握手、工作流程详解(双向HTTPS流程)
SSL协议的工作流程: 服务器认证阶段:1)客户端向服务器发送一个开始信息"Hello"以便开始一个新的会话连接:2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器 ...
- HTTP协议与HTTPS协议的区别
HTTPS协议是以安全为目的的HTTP通道,比单纯的HTTP协议更安全,相当于HTTP的升级版. HTTPS的安全基础为SSL,就是在HTTP下加入SSL层,意思是HTTPS通过安全传输机制进行数据传 ...
- http协议之https协议, libcurl实现人脸识别, 车牌识别
原创: 冬冬他哥哥 链接: https://www.cnblogs.com/xietianjiao/p/13260021.html. http协议之https http协议详解 一.http协议的特性 ...
- Http协议及Https协议及特性的简单描述
引入(摘自百度百科) 超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议.所有的WWW文件都必须遵守这个标准.设计HTTP最初的目的 ...
最新文章
- dubbo+zookeeper坑坑坑
- JS 事件冒泡和事件捕获
- 微信开发直接访问本地调试
- oracle原始数据类型,Oracle基本数据类型存储格式浅析——RAW类型
- c++ 隐藏进程_Linux 查看进程的动态信息
- 深入理解Scala的隐式转换系统
- vs编写windows服务和调用webservice
- facebook加密货币项目_Facebook数字货币:Libra的起源—加密货币(比特币)
- base家族:base16、base32和base64,转码原理
- 《交互设计》作业-第二周
- ps图片去水印-ps图片去水印教程
- win7右击应用程序资源管理器停止工作问题
- quorum examples初探
- 二进制数与二进制、十进制互化
- 【算法图解】——算法必备
- 关于websocket的http无法升级到ws请求的错误The HTTP response from the server [404] did not permit the HTTP upgrad
- 异或(XOR)运算加密/解密在线工具
- 宝塔面板重启mysql命令_宝塔linux面板命令大全
- FpML to QuantLib 外滙歐式Barrier選擇權估值 fx-ex12-fx-barrier-option.xml
- 六.基于行为经济学的政策设计(北大行为经济学笔记)
热门文章
- pdcch加扰_LTE中PDCCH支持的四种格式是代表什么含义
- oracle中 990.90,麒麟990+90Hz屏是什么样的体验?旗舰手机游戏性能实测
- VBA数组赋值(1/2)-- 一维数组
- 自动化测试框架[Cypress Custom Commands]
- Callnovo全球联络中心云通讯CRM平台(系列二)-工单评价模块
- 如何用python将nc格式文件转换为tif格式
- 【笔记】Pytorch-backward()
- ENVI对LandSat8 (OLI)图像 FLAASH大气校正 input radiance image data 报错 no valid data encountered in this file
- 必须了解的确保光纤跳线品质的五大测试!
- scrum敏捷项目管理_Scrum –敏捷项目的最好朋友