1 HTTP协议与HTTPS协议
- 1.1 HTTP协议概述
- 1.2 HTTPS协议概述
- 1.3 HTTPS与HHTP区别
2 URI和URL相关知识
- 2.1 URI统一资源标识符
- 2.2 URL统一资源定位符
- - 2.2.1 URL格式
  - 2.2.2 URL编码
3 通信过程
- 3.1 HTTP通信过程
- 3.2 HTTPS通信过程
- 3.3 代理服务器的影响
4 报文组成
- 4.1 Requeset请求报文
- 4.2 Reponse响应报文
- 4.3 浏览器报文查看
- 4.4 报文分析工具
5 同源策略
- 5.1 同源策略的条件
6 归纳
参考文章

1 HTTP协议与HTTPS协议

1.1 HTTP协议概述

（1）定义：HTTP协议是超文本传输协议的缩写，英文是Hyper Text Transfer Protocol。它是从WEB服务器传输超文本标记语言(HTML)到本地浏览器的传送协议。
（2）作用：设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。
（3）原理：

1）HTTP是一个基于TCP/IP通信协议来传递数据的协议，传输的数据类型为HTML文件、图片文，查询结果等。
2）HTTP协议一般用于B/S架构（浏览器/服务器）。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。

（4）特点：

1）http协议支持浏览器/服务器模式，也是一种请求/响应模式的协议。
简单快速：浏览器向服务器提出请求时，只需传送请求方法和路径（路径即理解资源的名字及路径）。请求方法常用的有GET、HEAD、POST。
灵活：HTTP允许传输任意类型的数据对象，如·html，JPG和mp3。传输的类型由Content-Type加以标记。
无连接：限制每次连接只处理一个请求。服务器处理完请求，并收到客户的应答后，即断开连接，但是却不利于客户端与服务器保持会话连接，为了弥补这种不足，产生了两项记录http状态的技术，一个叫做Cookie,一个叫做Session。
无状态：无状态是指协议对于事务处理没有记忆，后续处理需要前面的信息，则必须重传。

（5）缺点：

请求信息明文传输，容易被窃听截取。
数据的完整性未校验，容易被篡改。
没有验证对方身份，存在冒充危险。

1.2 HTTPS协议概述

（1）定义：HTTPS 协议（HyperText Transfer Protocol over Secure Socket Layer）：一般理解为HTTP+SSL/TLS，通过 SSL证书来验证服务器的身份，并为浏览器和服务器之间的通信进行加密。
（2）SSL与TLS：

1）SSL（Secure Socket Layer，安全套接字层）：1994年为 Netscape 所研发，SSL 协议位于 TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。
2）TLS（Transport Layer Security，传输层安全）：其前身是 SSL，它最初的几个版本（SSL 1.0、SSL 2.0、SSL 3.0）由网景公司开发，1999年从 3.1 开始被 IETF 标准化并改名，发展至今已经有 TLS 1.0、TLS 1.1、TLS 1.2 三个版本。SSL3.0和TLS1.0由于存在安全漏洞，已经很少被使用到。TLS 1.3 改动会比较大，目前还在草案阶段，目前使用最广泛的是TLS 1.1、TLS 1.2。

（3）缺点：

HTTPS协议多次握手，导致页面的加载时间延长近50%；
HTTPS连接缓存不如HTTP高效，会增加数据开销和功耗；
申请SSL证书需要钱，功能越强大的证书费用越高。
SSL涉及到的安全算法会消耗 CPU 资源，对服务器资源消耗较大。

1.3 HTTPS与HHTP区别

（1）HTTPS是HTTP协议的安全版本，HTTP协议的数据传输是明文的，是不安全的，HTTPS使用了SSL/TLS协议进行了加密处理。
（2）http和https使用连接方式不同，默认端口也不一样，http是80，https是443。

2 URI和URL相关知识

2.1 URI统一资源标识符

HTTP使用统一资源标识符（Uniform Resource Identifiers, URI）来传输数据和建立连接。
URI：Uniform Resource Identifier 统一资源标识符。是用来标示一个具体的资源的，我们可以通过 URI 知道一个资源是什么。

2.2 URL统一资源定位符

URL：Uniform Resource Location 统一资源定位符即网址。是用来定位具体的资源的，标示了一个具体的资源位置。互联网上的每个文件都有一个唯一的URL。简单理解为，URL用于告诉Web容器，浏览器所请求资源（文件）的路径，例如http://localhost/test/require.php?name=ajest。

2.2.1 URL格式

格式为schema://username:password@address:port/path to resource/?query_string#fragment

schema：使用的协议
username:password：用户名及密码，匿名访问时，默认没有这两个内容；当需要身份认证时，没有这两个内容，会有身份认证的弹窗
address：地址，包括IP地址和域名
port：端口号，当使用协议的默认端口号时，可以省略，其他端口号需要加上
path to resource：资源的路径
query_string：查询字符串，前面需要加？
fragment：锚点（实现页面内定位），前面需要加#

2.2.2 URL编码

（1）URL中允许出现的字符是有限制的，URL中path开始允许直接出现A-Z、a-z、0-9、半角减号（-）、下划线、句点（.）、波浪号（~）.而其他字符均会被百分号编码。如下：
# %23
[ ] 空格为%20

（2）URL编码为%加上ASCII编码的十六进制。例子，警号（#）的ASCII编码为35，那么它的URL编码为啥是%23。URL编码是16进制，35转化为十六进制是23.

（3）那么如何查询其他字符的URL编码呢？打开kali系统中的burpsuit工具，按如下方式可查看编码以及解码

（4）在进行编程的时候，一般会用加号（+）代替空格

（5）在进行URL编码时，一般是针对英文、数字及各种符号，因此不要随便用中文。

3 通信过程

3.1 HTTP通信过程

（1）浏览器建立与WEB服务器之间的连接；
（2）浏览器将请求数据打包（生成请求数据包）并发送给WEB服务器；
（3）WEB服务器将处理结果打包（生成相应数据包）并发给浏览器；
（4）WEB服务器关闭连接。

3.2 HTTPS通信过程

（1）首先客户端通过URL访问服务器建立SSL连接。
（2）服务端收到客户端请求后，会将网站支持的证书信息（证书中包含公钥）传送一份给客户端。
（3）客户端和服务器开始协商SSL连接的安全等级，也就是信息加密的等级。
（4）客户端的浏览器根据双方同意的安全等级，建立会话密钥，然后利用网站的公钥将会话密钥加密，并传送给网站。
（5）服务器利用自己的私钥解密出会话密钥。
（6）服务器利用会话密钥加密与客户端之间的通信。

3.3 代理服务器的影响

（1）无代理服务器。客户端给WEB服务器直接发送请求，并接收WEB服务器的应答。
（3）有代理服务器。客户端先给代理服务器发送请求，代理将请求转给WEB服务器，代理接收服务器的应答，并将应答转给客户端。在这个过程中，代理可以实现对请求和应答的修改。

4 报文组成

web应用的所有通信的消息都要遵守HTTP协议的规范和要求

4.1 Requeset请求报文

（1）请求报文的构成：一个HTTP请求报文由请求行（request line）、请求头部（header）、空行和请求数据4个部分组成

1）请求行：由三部分组成：请求方法、资源路径、协议/版本。例：GET /index.html HTTP/1.1。
①方法为GET，②资源路径为index.html，③协议/版本为HTTP/1.1.
2）请求头(Request Header)：请求头部由关键字/值对组成，每行一对，关键字和值用英文冒号“:”分隔，从请求报文第二行开始到第一个空行为止之间的内容。请求头部通知服务器有关于客户端请求的信息，典型的请求头字段有：
①Host：用于指定被请求资源的Internet主机和端口号，允许多个域名同处一个IP地址，即虚拟主机。
② User-Agent：浏览器指纹，产生请求的浏览器类型。
③Referer：包含一个URL，代表当前URL的上一个URL，即我们这个请求是从哪一个页面跳转过来的
④Cookie：记录请求者的身份认证信息
⑤Accept：客户端可识别的内容类型列表。
⑥Content-Type：用于向接收方指示实体的介质类型，即数据类型
⑦Content-Length：用于指明实体正文的长度，以字节方式存储的十进制数字来表示。
⑧Last-Modified：用于指示资源的最后修改时间和日期。

3）空行：请求头与请求体之间用一个空行隔开。发送回车符和换行符，通知服务器以下不再有请求头。
4）请求正文：要发送的数据(一般post方式会使用)。

（2）请求报文的例子：

（3）常见请求方法：

GET：是最常用的方法，通常用于请求服务器发送某个资源。
POST：可以向服务器提交数据（例如提交表单或者上传文件）。数据被包含在请求体中。POST请求可能会导致新的资源的创建和/或已有资源的修改。
HEAD：HEAD就像GET，只不过服务端接受到HEAD请求后只返回响应头，而不会发送响应内容。这一方法可以在不必传输整个响应内容的情况下，就可以获取包含在响应消息头中的元信息。
PUT：向指定资源位置上传其最新内容。与get从服务器读取文档相反，PUT方法会向服务器写入文档。
OPTIONS：请求服务器返回针对特定资源所支持的HTTP方法。请求web服务器告知其支持的各种功能。
DELETE：请求web服务器删除请求URL所指定的资源。
TRACE：回显服务器收到的请求，主要用于测试或诊断。
CONNECT：HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。

注意，如果服务器开启了PUT、TRACE、DELETE中的任意一个，我们就认为服务器有很大的安全风险。

（4）post和get的区别：

都包含请求头请求行，post多了请求body。
get多用来查询，请求参数放在url中，不会对服务器上的内容产生作用
post用来提交，如把账号密码放入body中。
GET是直接添加到URL后面的，直接就可以在URL中看到内容，而POST是放在报文内部的，用户无法直接看到。
GET提交的数据长度是有限制的，因为URL长度有限制，具体的长度限制视浏览器而定。而POST没有。

（5） 实验1：利用telnet模拟浏览器发送http请求
思路： telnet连接到服务器后就相当于与服务器建立了连接，之后就是构造一个http请求报文

1）与服务器建立连接 telnet 172.16.1.1 80
2）输入CTRL+]打开回显功能
3）将下述请求复制到命令窗口中。即可得到服务器的响应。

 GET /PHP/var.php HTTP/1.1Host:172.16.1.1

实验2：利用telnet传送GET参数
第1步和第2步与上述实验1一样，第三步的请求报文如下（在请求行中加上传递的参数）：

 GET /PHP/var.php？name=a$pwd=1 HTTP/1.1Host:172.16.1.1

实验2：利用telnet模拟post

4.2 Reponse响应报文

（1）访问一个网页时，浏览器会向web服务器发出请求。此网页所在的服务器会返回一个包含HTTP状态码的信息头用以响应浏览器的请求。

（2）响应报文构成：HTTP响应也由三个部分组成，分别是：状态行、响应头、响应正文

状态行：协议/版本、状态码（三位的数字）和状态描述短语（如OK），各元素之间以空格间隔。
响应头：包括服务器类型、日期、长度、内容类型等。从第二行开始到第一个空行为止的所有内容。所包含的主要字段
①server：服务器指纹
②set-cookie：向浏览器端设置cookie
③Content-Length：正文的长度
④Last-Modified：服务器通过这个信息告诉浏览器，资源的最后修改时间
⑤Refresh：服务器通过Refresh头告诉浏览器定时刷新浏览器
响应正文：服务器返回资源的内容，及浏览器接收到的HTML代码。

（3）响应报文例子：

（3）响应状态码：

1XX- 信息型，服务器收到请求，需要请求者继续操作。
2XX- 成功型，请求成功收到，理解并处理。
3XX - 重定向，需要进一步的操作以完成请求。
4XX - 客户端错误，请求包含语法错误或无法完成请求。
5XX - 服务器错误，服务器在处理请求的过程中发生了错误。

（4）常见状态码：

200 OK - 客户端请求成功
301 - 资源（网页等）被永久转移到其它URL
302 - 临时跳转
400 Bad Request - 客户端请求有语法错误，不能被服务器所理解
401 Unauthorized - 请求未经授权，这个状态代码必须和WWW-Authenticate报头域一起使用
403-拒绝或者禁止访问
404 - 请求资源不存在，可能是输入了错误的URL
500 - 服务器内部发生了不可预期的错误
503 Server Unavailable - 服务器当前不能处理客户端的请求，一段时间后可能恢复正常。

4.3 浏览器报文查看

查看网页报文。在浏览器按F12，查看网页源码，可以按以下步骤查看通信报文情况。

4.4 报文分析工具

（1）F12
（2）wireshark
（3）fiddler
（4）burp suite·

5 同源策略

5.1 同源策略的条件

（1）URL的主机（FQDN全称域名）一致
（2）schema协议一致
（3）端口号一致

同源策略的保护对象不仅仅是iframe内的文档。比如，实现Ajax时所使用的XMLHttpRequest对象能够访问的URL也受到了同源策略的限制。
例子：
当在浏览器中输入http://172.16.132.161/sop/index.php访问下面的这个页面时，可以成功的访问到iframe中的内容，但是当在浏览器中输入http://localhost/sop/index.php访问下面的这个页面时，无法访问到iframe中的内容。这是由于iframe中的内容网址的域名是172.16.132.161，而不是localhost，JS只能读同一个域下的网页。

6 归纳

（1）了解HTTP/HTTPS的联系与区别及各自的优缺点。
（2）对比了解HTTP/HTTPS的通信过程。
（3）了解URI与URL的定义及区别。
（4）对比了解Requeset请求报文和Reponse响应报文的组成。

参考文章

[1] 《HTTP请求报文和HTTP响应报文》
[2] 《第二天数据包拓展》
[3] 《【基础补充】http/https协议及通信过程》

【基础协议】HTTP/HTTPS协议及其工作流程相关推荐

什么是HTTPS协议？HTTPS协议优势有哪些？
我们在浏览网站的时候会发现有的网站URL是以HTTP开头,而有的是以HTTPS开头的,通常网站的URL会分为两部分:通信协议和域名地址.域名地址我们好理解,不同的域名对应着不同网站和页面,而通信协议简 ...
网络编程知识预备(4) ——了解应用层的HTTP协议与HTTPS协议
参考:简单了解HTTP协议与HTTPS协议作者:丶PURSUING 发布时间: 2021-03-15 10:55:13 网址:https://blog.csdn.net/weixin_4474282 ...
HTTP协议，HTTPS协议，SSL/TLS协议概述
HTTP协议,HTTPS协议,SSL/TLS协议概述 1. 什么是HTTP协议 HTTP(Hyper Text Transfer Protocol,HTTP)协议超文本传输协议,是一个基于请求与响 ...
在Tomcat下http协议转https协议
Tomcat下http协议转https协议,在腾讯云下载的免费SSL证书最近在搞微信小程序的支付问题,但是调用支付接口的规则是传输规则是必须为https传输,因为我本身是Javaweb项目,发布在T ...
PB使用http协议、https协议(简单便捷)
PB使用HTTP协议.HTTPS协议 PB自身也有http组件,但使用起来较为繁琐.VDN作者将http功能通过API的形式封装为HttpClient组件,PB直接调用即可,支持http及https协 ...
说说 Http协议与https协议区别
Http协议与https协议区别: 1:https协议需要到ca申请证书,一般免费的证书比较少,一般都需要交费 2:http是超文本传输,信息是文明传输,https则具备有安全性的ssl加密传输协议 ...
SSL协议(HTTPS) 握手、工作流程详解(双向HTTPS流程)
SSL协议的工作流程: 服务器认证阶段:1)客户端向服务器发送一个开始信息"Hello"以便开始一个新的会话连接:2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器 ...
HTTP协议与HTTPS协议的区别
HTTPS协议是以安全为目的的HTTP通道,比单纯的HTTP协议更安全,相当于HTTP的升级版. HTTPS的安全基础为SSL,就是在HTTP下加入SSL层,意思是HTTPS通过安全传输机制进行数据传 ...
http协议之https协议, libcurl实现人脸识别, 车牌识别
原创: 冬冬他哥哥链接: https://www.cnblogs.com/xietianjiao/p/13260021.html. http协议之https http协议详解一.http协议的特性 ...
Http协议及Https协议及特性的简单描述
引入(摘自百度百科) 超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议.所有的WWW文件都必须遵守这个标准.设计HTTP最初的目的 ...

【基础协议】HTTP/HTTPS协议及其工作流程

目录