HTTP请求方法
| 序号 | 方法 | 描述 |
|---|---|---|
| 1 | GET | 请求指定的页面的资源,并返回实体主体。(如果请求资源为php、jsp等,则解析后进行展示) |
| 2 | HEAD | 用于获取报头,类似于get请求,只不过返回的响应中没有具体的内容。(常用于扫描) |
| 3 | POST | 向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。常用于向服务器发送大量数据。(如请求login.php,并传递账户密码等信息) |
| 4 | PUT | 客户端向服务器传送的数据取代指定的内容。(可以在服务器端创建,一般会禁用此方法) |
| 5 | DELETE | 请求服务器删除指定的页面。(可以在服务器端删除,一般会禁用此方法) |
| 6 | CONNECT | HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。 |
| 7 | OPTIONS | 允许客户端查看服务器的性能。(可以查看服务器端允许的请求方法,可以用来收集信息) |
| 8 | TRACE | 回显服务器收到的请求,主要用于测试或诊断。 |
HTTP状态码
- 1xx:信息提示,表示请求已被成功接收,继续处理。100~101.
- 2xx:成功,服务器成功处理了请求。200~206.
- 3xx:重定向。300~305.
- 4xx:客户端错误状态码。400~415.
- 5xx:web服务器出错。500~505.
常见状态码:
| 状态码 | 描述 |
|---|---|
| 200 | 请求成功 |
| 301 | 资源(网页等)被永久转移到其它URL |
| 302 | 重定向 |
| 400 | 请求语法错误 |
| 401 | 请求未经授权 |
| 403 | 服务器拒绝提供服务 |
| 404 | 请求的资源(网页等)不存在 |
| 500 | 内部服务器错误 |
HTTP消息头
| 请求头 | 解释 |
|---|---|
| host | 域名 |
| user-agent | 客户端信息 |
| referer | 上一个页面 |
| cookie | 表示请求者身份 |
| range | 请求实体的部分内容 |
| x-forward-for | xff头,表示请求段的ip |
| accept | 客户端希望接收的消息类型 |
| accept-charset | 客户端希望接收的字符类型 |
| 响应 | 解释 |
|---|---|
| server | Web服务器的名称 |
| set-cookie | 向客户端设置cookie |
| last-modified | 资源上次修改时间 |
| location | 重定向的页面位置 |
| refresh | 定时刷新浏览器 |
| 实体头 | 解释 |
|---|---|
| content-type | 告知客户端实体的类型 |
| content-encoding | 应用到实体正文中附加内容的编码 |
| content-length | 实体正文的长度 |
| last-modified | 资源上次修改时间 |
截取HTTP请求
工具:burpsuite、fiddler
搜索引擎劫持
现象:直接输入自己网站的域名可直接登录,但是从搜索引擎搜到页面点击时,会跳转到其他页面
http头中有一个字段referer,可记录用户从哪个页面点击过来的,黑客通过user-agent字段实现搜索到从百度等搜索引擎跳转过来的访问请求时,构造一个location字段跳转到其他页面。
