网站协议报文
名词解释
状态码:说明请求的结课
请求报文结构
- 请求行信息
- 请求方法 GET,POST,OPTIONS(要求服务器报告对某一特殊资源有效的HTTP方法),PUT(先服务器上传指定的资源)HEAD(与GET相似,但不会在其响应中返回消息主体),TRACE(用于诊断)...
- /路径
- 协议/版本信息 HTTP/1.1
- 请求头信息
- Accept:请求的文件类型
- Referer:超链接的源地址
作用:可以防盗链 - Accept-Language:支持的语言类型,q权重
- User-Agent:客户端访问服务器的软件信息,是PC端,还是移动端
- Accent-Encoding:是否对数据进行压缩处理
- Host:代表在请求网站时,具体要请求哪个页面
- Connection:长连接(Keep-Alive),短链接(空或none)
- 短链接:一次连接(TCP三次握手),对应一次请求及一次响应
- 长连接:一次连接(TCP三次握手),对应多个请求及多个响应,节省通信的效率
- Cookie:
- cookie是什么?类似与身份证,用于服务器区分不同的用户(客户端),服务器给不同的客户端颁发不同的cookie信息独一无二,纯文本的,有服务端生成.
- cookie的类型:会话cookie,持久cookie(也有过期情况)
- cookie的属性:
- cookie域:指定cookie属于哪个网站的
- cookie Path(路径):为服务器每个不同的页面/文档指定不同的子页cookie,
- cookie的种类:(第三方cookie),根据不同用户的喜好推广不同的连接
- 空行
- 请求主体
响应报文结构
- 起始行:协议版本 状态码
- 响应头
- Date:响应时间
- Server:怎么样的服务器响应的请求,有时server的信息会被服务器做调整防止敏感信息泄露
- Cache-Control:是否有缓存设置
- Pragma:同上
- Expires:缓存信息生校时间
- Content-Type:响应信息的类型
- Content-Length:响应信息的长度
- Vary:Accept-Encoding表示网站启用了GZip压缩
- Location:重定向的目标,资源跳转,优化用户体验
- Set-Cookie:服务器颁发给客户端的Cookie信息
- 空行
- 响应主体
每日一记
XSS跨站脚本攻击原理
击分类介绍
- 反射型
- 存储型
- DOM XSS:会在网站生成超链接信息,超链接中会自动加载恶意代码.影响客户端
存在的地方
- HTML context
- Attribute Context 属性中
- Style Context 样式中
攻击方式
- 工具:APPscan,AWVS ...
- 手工攻击
特点
跨站请求伪造
钓鱼
过程
- 利用原有网站URL地址获取用户数据信息 cookie 用户登入信息
- 利用自己网站URL地址获取用户数据信息 cookie 用户登入信息
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
