安全测试 - HTTP 请求
HTTP 请求
HTTP 客户端以请求消息的形式向服务器发送 HTTP 请求,该请求消息包含以下格式 −
请求行
零个或多个标头 (General|Request|Entity) 字段,后跟 CRLF
空行(CRLF 前没有任何内容的行),表示标头字段的结尾
可选的消息正文
以下部分解释了 HTTP 消息中使用的每个实体。
消息请求行
请求行以方法令牌开头,后跟请求 URI、协议版本,最后以 CRLF 结尾。元素之间用空格 SP 字符分隔。
Request-Line = Method SP Request-URI SP HTTP-Version CRLF
让我们讨论一下 Request-Line 中提到的每个部分。
请求方法
请求 方法 表示对给定 Request-URI 标识的资源执行的方法。该方法区分大小写,应始终以大写形式提及。HTTP/1.1 支持以下方法 −
| S.No. | 方法和说明 |
|---|---|
| 1 | GET 用于使用给定的 URI 从给定的服务器检索信息。使用GET的请求应该只检索数据,并且不应该对数据产生其他影响。 |
| 2 | HEAD 它与GET相同,但只传输状态行和标题部分。 |
| 3 | POST 它用于将数据发送到服务器。例如,使用 HTML 表单的客户信息、文件上传等。 |
| 4 | PUT 它用上传的内容替换目标资源的所有当前表示。 |
| 5 | DELETE 它删除由 URI 给出的目标资源的所有当前表示。 |
| 6 | CONNECT 它建立到由给定URI。 |
| 7 | OPTIONS 它描述了目标资源的通信选项。 |
| 8 | TRACE 它沿着到目标资源的路径执行消息环回测试。 |
Request-URI
Request-URI 是一个统一资源标识符,用于标识必须应用请求的资源。以下是指定 URI 的最常用形式 −
Request-URI = "*" | absoluteURI | abs_path | authority
| S.No. | 方法和说明 |
|---|---|
| 1 | 当 HTTP 请求不适用于特定资源,而是适用于服务器本身时,使用星号 *。仅当方法不一定适用于资源时才允许使用。例如, OPTIONS * HTTP/1.1 |
| 2 | 当向代理发出 HTTP 请求时,使用 absoluteURI。请求代理转发请求或从有效缓存中提供服务,并返回响应。例如,GET https://www.w3.org/pub/WWW/TheProject.html HTTP/1.1 |
| 3 | Request-URI 的最常见形式是用于识别原始服务器或网关上的资源。例如,希望直接从原始服务器检索上述资源的客户端将创建与主机"www.w3.org"的端口 80 的 TCP 连接并发送行 − GET /pub/WWW/TheProject.html HTTP/1.1 注意 − 绝对路径不能为空。如果原始 URI 中不存在任何路径,则必须将其指定为"/"(服务器根目录) |
请求标头字段
请求标头字段允许客户端将有关请求以及客户端本身的其他信息传递给服务器。这些字段充当请求修饰符,以下重要的请求标头字段可用,可根据要求使用 −
- Accept-Charset
- Accept-Encoding
- Accept-Language
- Authorization
- Expect
- From
- Host
- If-Match
- If-Modified-Since
- If-None-Match
- If-Range
- If-Unmodified-Since
- Max-Forwards
- Proxy-Authorization
- Range
- Referer
- TE
- User-Agent
如果您要编写自己的自定义客户端和 Web 服务器,则可以引入自定义字段。
请求消息示例
现在让我们将所有内容放在一起,形成一个 HTTP 请求,以从在 tutorialspoint.com 上运行的 Web 服务器获取 hello.htm 页面 −
GET /hello.htm HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE5.01; Windows NT) Host: www.tutorialspoint.com Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: Keep-Alive
这里我们没有向服务器发送任何请求数据,因为我们正在从服务器获取计划 HTML 页面。连接是通用标头,其余所有标头都是请求标头。以下是另一个示例,我们使用请求消息正文将表单数据发送到服务器 −
POST /cgi-bin/process.cgi HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE5.01; Windows NT) Host: www.tutorialspoint.com Content-Type: application/x-www-form-urlencoded Content-Length: length Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: Keep-Alive licenseID = string&content = string&/paramsXML = string
此处,给定的 URL /cgi-bin/process.cgi 用于处理传递的数据,并据此返回响应。content-type 告诉服务器传递的数据是简单的 Web 表单数据,length 是放入消息正文中的数据的实际长度。以下示例显示了如何将计划 XML 传递给 Web 服务器 −
POST /cgi-bin/process.cgi HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE5.01; Windows NT) Host: www.tutorialspoint.com Content-Type: text/xml; charset = utf-8 Content-Length: length Accept-Language: en-us Accept-Encoding: gzip, deflate Connection: Keep-Alive <?xml version = "1.0" encoding = "utf-8"?> <string xmlns = "http://clearforest.com/">string</string>
http_protocol_basics.html
