2018post課程入門課件http詳解

HTTP是一個屬于應用層的面向?qū)ο蟮膮f(xié)議，由于其簡捷、快速的方式，適用于分布式超信息系統(tǒng)。它于1990年提出，經(jīng)過幾年的使用與發(fā)展，得到不斷地完善和擴展。目前在WWW中使用的是HTTP/1.0的第六版，HTTP/1.1HTTP-NG(NextGenerationofHTTP常用的有GET、HEAD、POST。每種方定了客戶與服務器聯(lián)系的類型不同。由于HTTP協(xié)議簡單，使得HTTP服務器的程序規(guī)模小，因而通信速度很靈活：HTTPContent-Type加以標記。的請求，并收到客戶的應答后，即斷開連接。采用這種方式可以節(jié)省傳輸時間。無狀態(tài)：HTTP一、HTTP協(xié)議詳解之URL的協(xié)議，?；赥CP的連接方式，HTTP1.1版本中給出一種持續(xù)連接的機制，絕大多數(shù)的Web開發(fā)，都是構(gòu)建在HTTP協(xié)議之上的Web應用。HTTPURL(URL是一種特殊類型的URI，包含了用于查找某個資源的足夠的http表示要通過HTTP協(xié)議來定位網(wǎng)絡資源；host表示合法的Internet主機域名或者IP地址；port指定一個端，為空則使用缺省端口80；abs_path指定請求資源的URI；如果URLabs_pathURI 二、HTTPhttp版本，格式如下：MethodRequest-URIHTTP-VersionCRLF其中Method表示請求方法；Request-URI是一個統(tǒng)一資源標識符；HTTP-Version表示請求的HTTP協(xié)議版本；CRLF表示回車和換行（除了作為結(jié)尾CRLFCRLF字符。請求方法（所有方法全為大寫） 請求獲取Request-URI 在Request-URI 請求獲取由Request-URI所標識的資源的響應消息報頭 請求服務器一個資源，并用Request-URI作為其標識DELETE請求服務器刪除Request-URI所標識的資源 CONNECTOPTIONS請求查詢服務器的性能，或者查詢與資源相關(guān)的選項和需求GET方法：在瀏覽器的地址欄中輸入的方式網(wǎng)頁時，瀏覽器采用方法向服務器獲取資源，eg:GETform.htmlHTTP/1.1POSTeg：POST/reg.jspHTTP/(CRLF)Accept:image/gif,image/x-xbit,...(CRLF) Content-Length:22(CRLF)Connection:Keep-Alive(CRLF)Cache-Control:no-cache(CRLF) //CRLFuser=jeffrey&pwd=1234//HEAD方法與GETHEAD請求的回應部分來說，它的HTTPGET請求所得到的信息是相同的。利用這個方法，不必傳輸整個資源內(nèi)容，就可以得到Request-URI所標識的資源的信3、請求正文(略三、HTTP在接收和解釋請求消息后，服務器返回一個HTTPHTTPHTTP-VersionStatus-CodeReason-Phrase其中，HTTP-Version表示服務器HTTP協(xié)議的版本；Status-Code表示服務器發(fā)回的響應狀態(tài)代碼；Reason-Phrase表示狀態(tài)代碼的文本描述。200 400BadRequest//401Unauthorized//請 ，這個狀態(tài)代碼必須和WWW-403Forbidden//服務器收到請求，但是提供服404NotFound//請求資源不存在，egURL500InternalServerError//服務器發(fā)生不可預期的錯誤503ServerUnavailable//服務器當前不能處理客戶端的請求，一段時間后可eg：HTTP/1.1200OK23四、HTTPHTTP消息由客戶端到服務器的請求和服務器到客戶端的響應組成。請求消息，開始行就是狀態(tài)行，消息報頭（可選，空行（CRLF的行，消息正HTTP每一個報頭域都是由名字+“：”+空格+Cache-Control用于指定緩存指令，緩存指令是單向的（響應中出現(xiàn)的緩存指息處理的緩存機制，HTTP1.0使用的類似的報頭域為Pragma。egIE瀏覽器（客戶端）JSP程序可以DateConnection普通報頭域允許發(fā)送指定連接的選項。例如指定連接是連續(xù)，或者2Accept請求報頭域用于指定客戶端接受哪些類型的信息。eg：Accept：image/gif，表明客戶端希望接受GIF圖象格式的資源；Accept：text/html，html文本。Accept-Accept-Charset請求報頭域用于指定客戶端接受的字符集。eg：Accept-Accept-Encoding請求報頭域類似于Accept，但是它是用于指定可接受的內(nèi)容Accept-Accept-Language請求報頭域類似于Accept，但是它是用于指定一種自然語 Authorization請求報頭域主要用于證明客戶端有權(quán)查看某個資源。當瀏覽器訪問一個頁面時，如果收到服務器的響應代碼為401（未，可以發(fā)送一個包含Authorization請求報頭域的請求，要求服務器對其進行驗證。Host請求報頭域主要用于指定被請求資源的Internet主機和端，它通常HTTPURL我們在瀏覽器中輸入 瀏覽器發(fā)送的請求消息中，就會包含Host此處使用缺省端80，若指定了端，則變成：Host：奇，實際上，服務器應用程序就是從User-Agent這個請求報頭域中獲取到這些信息。User-Agent請求報頭域允許客戶端將它的操作系統(tǒng)、瀏覽器和其它屬性不使用User-Agent請求報頭域，那么服務器端就無法得知我們的信息了。GET/form.htmlHTTP/1.1 If-Modified-Since:Wed,05Jan200711:21:25GMT(CRLF)If-None-Match:W/"80b1a4c018f3c41:8317"(CRLF)User-Agent:Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0)(CRLF) Connection:Keep-Alive(CRLF)3的信息和對Request-URI所標識的資源進行下一步的信息。Location響應報頭域用于重定向接受者到一個新的位置。Location響應報頭域ServerUser-Agent請Server響應報頭域的一個例子：WWW-Authenticate響應報頭域必須被包含在401（未的）響應消息中，401響應消息時候，并發(fā)送Authorization報頭域請求服務器對其eg：WWW-Authenticate:Basicrealm="BasicAuthTest!"http://可以看出服務器Content-Encoding實體報頭域被用作類型的修飾符，它的值指示了已經(jīng)被Content-Type報頭域中所的類型，必須采用相應的機制。Content-Encoding這樣用于記錄文檔Content-LanguageContent-Length實體報頭域用于指明實體正文的長度，以字節(jié)方式的十進Content-Type實體報頭域用語指明發(fā)送給接收者的實體正文的類型。Last-ModifiedExpires實體報頭域給出響應過期的日期和時間。為了讓服務器或瀏覽器在短響應時間和降低服務器負載)的頁面，我們可以使用Expires實體報頭域指定頁面過期的時間。eg：Expires：Thu，15Sep200616:23:12GMTHTTP1.1的客戶端和緩存必須將其他的日期格式（包括0）看作已經(jīng)過期。egExpires實體報頭域，0，jsp中程序如下：response.setDateHeader("Expires","0");五、利用net觀察http協(xié)議的通訊過程利用MS的net工具，通過手動輸入http請求信息的方式，向服務器發(fā)出請求，服務器接收、解釋和接受請求后，會返回一個響應，該響應會在nethttp協(xié)議的通訊過程的認識。 打 打開net回顯功set2 80//注意端不能省HEAD/index.aspHTTP/1.0 GETindex.aspHTTP/1.0//請求資源的內(nèi)容 80// HEAD/index.asp2.1得到的響應是HTTP/1.1200OK Server:-IIS/5.0 //web服務器Date:Thu,08Mar200707:17:51GMTConnection:Keep-AliveContent-Length:23330Content-Type:Expries:Thu,08Mar200707:16:51GMTCache-control:2.2得到的響應是HTTP/1.0404NotFound Date:Thu,08Mar200707:50:50GMTServer:Apache/2.0.54Last-Modified:Thu,30Nov200611:35:41GMTETag:"6277a-415-e7c76980"Accept-Ranges:X-Powered-By:mod_xlayout_jh/0.0.1vhs.markII.remixVary:Accept-EncodingContent-Type:X-Cache:MISS Via:1.0 X-Cache:MISSfrom Connection:23、更深一步了解HTTP協(xié)議，可以查看RFC2616 程序必須掌握http協(xié)議六、HTTP協(xié)議相關(guān)技術(shù)補充協(xié)議有：文件傳輸協(xié)議FTP、電子郵件傳輸協(xié)議SMTP、系統(tǒng)服 傳輸協(xié)議NNTP和HTTP協(xié)議 URI的絕對格式來接受請求，重寫全部或部分消息，通過URI的標識把已格層，并且如果必須的話，可以把請求翻譯給下層的服務器協(xié)議。一個通道作為等)它的服務器中。一個 用來通過協(xié)議處理沒有被用戶完成的請求。 在非HTTP系統(tǒng)中的資源。不屬于HTTP通訊，盡管通道可能是被一個HTTP請求初始化的。當被中繼2、協(xié)議分析的優(yōu)勢—HTTP以模塊化的方式對協(xié)議進行分析處理，將是未來檢測的方向HTTP及其的常用端口80、3128和8080在network部分用port進3、HTTP協(xié)議ContentLenth限制導致服使用POST方法時，可以設置ContentLenth來定義需要傳送的數(shù)據(jù)長度，例如ContentLenth: ，在傳送完成前，內(nèi)存不會釋放，者可以利用這個缺陷，連續(xù)向WEB服務器發(fā)送數(shù)據(jù)直至WEB服務器內(nèi)存耗盡。這4、利用HTTP協(xié)議的特性進行服務的一些構(gòu)服務器端忙于處理者的TCP連接請求而無暇理睬客戶的正常請求（畢響應，這種情況我們稱作：服務器端受到了SYNFlood（SYN洪水攻擊而Smurf、TearDrop等是利用ICMP報文來Flood和IP碎片的。本文“正常連接”的方法來產(chǎn)生服務19端口在早期已經(jīng)有人用來做Chargen了，即Chargen_Denial_of_ServiceChargen服務器之間產(chǎn)生UDP連接，讓服務器處理過多信息而DOWN掉，那么，干掉一臺WEB2個：1.Chargen2.有HTTP服務方法：者源IP給N臺Chargen發(fā)送連接請求（Connect，Chargen72字節(jié)的字符流（實際上根據(jù)網(wǎng)絡實際情況，這個 識別技 識別的原理大致上也是相同的：記錄不同服務器對Http協(xié)議執(zhí)行中的微小差別進行識別.Http識別比TCP/IP堆棧識別復雜許多,理由是定制HttpHttp的響應信息變的很容易,這樣使得識別變的；然而定制TCP/IP堆棧的行為需要對層要讓服務器返回不同的Banner信息的設置是很簡單的,象Apache這樣的開放源代碼的Http服務器,用戶可以在源代碼里修改Banner信息,Http服務就生效了；對于沒有公開源代碼的Http服務器比如微軟的IIS或者是Netscape,可以在存放Banner信息的Dll文件中修改,相關(guān)的文章有討論的,這里不再贅述,當