http特点

http特点

1.web页面分类动态web

应用

数据库

根据用户的输入返回不同的结果

2.静态web2.web攻击面

Network

OS

WEB Server App server Web Application Database Browser

3.http协议特点明文

无内建安全机制

嗅探或代理截断可查看全部明文信息https只能提高传输层安全,并不能完全防范中间人攻击

无状态

每一次通信都是一个独立的过程

使用cookie/session跟踪用户会话 提高用户体验,但是增加了攻击向量

cycle一次请求/响应称为一个cycle

header

Set-Cookie 服务端发送给客户端的sessionID

Content-Lengthbody 记录body部分的长度Location 重定向

Cookie 证明用户状态的信息

Referrer 发起请求前所在的页面

4.状态码

100 表示服务器还有后续处理200 请求成功

300 重定向

400 客户端请求错误

401 需要身份验证403 拒绝访问

404 目标未发现

500 服务器内部错误