安全测试 - HTTP 协议基础

了解协议对于掌握安全测试非常重要。当我们拦截 Web 服务器和客户端之间的数据包数据时，您将能够体会到协议的重要性。

HTTP 协议

超文本传输协议 (HTTP) 是分布式、协作式、超媒体信息系统的应用程序级协议。这是自 1990 年以来万维网数据通信的基础。HTTP 是一种通用的无状态协议，也可以通过扩展其请求方法、错误代码和标头用于其他目的。

基本上，HTTP 是一种基于 TCP/IP 的通信协议，用于通过 Web 传递 HTML 文件、图像文件、查询结果等数据。它为计算机之间的通信提供了一种标准化方式。 HTTP 规范指定了客户端请求的数据如何发送到服务器，以及服务器如何响应这些请求。

以下三个基本功能使 HTTP 成为一个简单但功能强大的协议 −

HTTP 是无连接的 − HTTP 客户端，即浏览器发起 HTTP 请求。发出请求后，客户端断开与服务器的连接并等待响应。服务器处理请求并重新建立与客户端的连接以发回响应。
HTTP 是媒体独立的 − 只要客户端和服务器都知道如何处理数据内容，HTTP 就可以发送任何类型的数据。客户端和服务器都需要使用适当的 MIME 类型指定内容类型。
HTTP 是无状态的 − HTTP 是无连接的，这直接导致 HTTP 是无状态协议。服务器和客户端仅在当前请求期间相互了解。之后，双方都会忘记对方。由于协议的这种性质，客户端和浏览器都无法在网页之间的不同请求之间保留信息。

HTTP/1.0 为每个请求/响应交换使用一个新连接，而 HTTP/1.1 连接可用于一个或多个请求/响应交换。

下图显示了 Web 应用程序的一个非常基本的架构，并描述了 HTTP 所在的位置 −

HTTP 协议是一种基于客户端/服务器架构的请求/响应协议，其中 Web 浏览器、机器人和搜索引擎等充当 HTTP 客户端，Web 服务器充当服务器。

客户端 − HTTP 客户端通过 TCP/IP 连接以请求方法、URI 和协议版本的形式向服务器发送请求，后跟包含请求修饰符、客户端信息和可能的主体内容的类似 MIME 的消息。
服务器 − HTTP 服务器以状态行进行响应，包括消息的协议版本和成功或错误代码，后跟包含服务器信息、实体元信息和可能的实体主体内容的类似 MIME 的消息。

为了深入了解 HTTP 协议，请单击下面的每个链接。