HTTP请求方法
序号 |
方法 |
描述 |
1 |
GET |
请求指定的页面的资源,并返回实体主体。(如果请求资源为php、jsp等,则解析后进行展示) |
2 |
HEAD |
用于获取报头,类似于get请求,只不过返回的响应中没有具体的内容。(常用于扫描) |
3 |
POST |
向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。常用于向服务器发送大量数据。(如请求login.php,并传递账户密码等信息) |
4 |
PUT |
客户端向服务器传送的数据取代指定的内容。(可以在服务器端创建,一般会禁用此方法) |
5 |
DELETE |
请求服务器删除指定的页面。(可以在服务器端删除,一般会禁用此方法) |
6 |
CONNECT |
HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。 |
7 |
OPTIONS |
允许客户端查看服务器的性能。(可以查看服务器端允许的请求方法,可以用来收集信息) |
8 |
TRACE |
回显服务器收到的请求,主要用于测试或诊断。 |
HTTP状态码
- 1xx:信息提示,表示请求已被成功接收,继续处理。100~101.
- 2xx:成功,服务器成功处理了请求。200~206.
- 3xx:重定向。300~305.
- 4xx:客户端错误状态码。400~415.
- 5xx:web服务器出错。500~505.
常见状态码:
状态码 |
描述 |
200 |
请求成功 |
301 |
资源(网页等)被永久转移到其它URL |
302 |
重定向 |
400 |
请求语法错误 |
401 |
请求未经授权 |
403 |
服务器拒绝提供服务 |
404 |
请求的资源(网页等)不存在 |
500 |
内部服务器错误 |
HTTP消息头
请求头 |
解释 |
host |
域名 |
user-agent |
客户端信息 |
referer |
上一个页面 |
cookie |
表示请求者身份 |
range |
请求实体的部分内容 |
x-forward-for |
xff头,表示请求段的ip |
accept |
客户端希望接收的消息类型 |
accept-charset |
客户端希望接收的字符类型 |
响应 |
解释 |
server |
Web服务器的名称 |
set-cookie |
向客户端设置cookie |
last-modified |
资源上次修改时间 |
location |
重定向的页面位置 |
refresh |
定时刷新浏览器 |
实体头 |
解释 |
content-type |
告知客户端实体的类型 |
content-encoding |
应用到实体正文中附加内容的编码 |
content-length |
实体正文的长度 |
last-modified |
资源上次修改时间 |
截取HTTP请求
工具:burpsuite、fiddler
搜索引擎劫持
现象:直接输入自己网站的域名可直接登录,但是从搜索引擎搜到页面点击时,会跳转到其他页面
http头中有一个字段referer,可记录用户从哪个页面点击过来的,黑客通过user-agent字段实现搜索到从百度等搜索引擎跳转过来的访问请求时,构造一个location字段跳转到其他页面。