Web应用安全与加速讲义1HTTP1.1HTTP报文HTTP报文是在HTTP应用程序之间发送的数据块(用于HTTP协议交互的信息)。请求端(客户端)的HTTP报文叫做请求报文,响应端(服务器端)的叫做响应报文。1.1.0Debug模式下的HTTP事务URL:https://edu.lagou.com/RemoteAddress:访问目标URL解析出来的IP地址,443:表示当前https协议。ReferrerPolicy:Referrer用户指明当前请求的来源页面,对于同源的请求,会发送完整的url作为引用地址,防盗链。accept:请求可以支持的响应格式列表信息accept-encoding:告知服务器本地浏览器支持是压缩方式sec-fetch-dest:期望获得什么类型的资源sec-fetch-mode:navigate,表示这是一个浏览器的页面切换请求sec-fetch-site:表示一个请求发起的来源和目标资源来源之间的关系,cross-site:跨域请求,same-origin:同源请求。sec-fetch-user:?1表示的trueupgrade-insecure-requests:1,表示当前浏览器告诉服务器,浏览器是可以处理https请求的,即使访问的https请求中又包含了其他的http请求。user-agent:描述浏览器的信息server:web应用程序部署的容器,openresty:封装了Nginx以及第三方的类库,Lua语言,redis等等。vary:accept-Encoding,告诉代理服务器缓存两种版本的资源(压缩、不压缩)1.1.1报文流动HTTP使用术语流入(inbound)和流出(outbound)来描述事务处理(transaction)的方向。报文流入源端服务器,工作完成之后,会流回用户的Agent代理中报文流入源端服务器并流回到客户端1.1.2报文的组成部分HTTP报文是简单的格式化数据块。每条报文都包含一条来自客户端的请求,或者一条来自服务器的响应。它们由三个部分组成:1.对报文进行描述的起始行(startline)2.包含属性的首部(header)块3.以及可选的包含数据的主体(body)部分(1)所有的HTTP报文都可以分为两类:请求报文(requestmessage)和响应报文(responsemessage)。请求报文会向Web服务器请求一个动作。响应报文会将请求的结果返回给客户端。请求和响应报文的基本报文结构相同。这是请求报文的格式:这是响应报文的格式(注意,只有起始行的语法有所不同):(2)请求报文(3)响应报文(4)HTTP消息由采用ASCII编码的多行文本构成。在HTTP/1.1及早期版本中,这些消息通过连接公开地发送。在HTTP/2中,为了优化和性能方面的改进,曾经可人工阅读的消息被分到多个HTTP帧中。Web开发人员或网站管理员,很少自己手工创建这些原始的HTTP消息︰由软件、浏览器、代理或服务器完成。他们通过配置文件(用于代理服务器或服务器),API(用于浏览器)或其他接口提供HTTP消息。(5)HTTP请求和响应具有相似的结构,由以下部分组成︰1.一行起始行用于描述要执行的请求,或者是对应的状态,成功或失败,这个起始行总是单行的。2.一个可选的HTTP头集合指明请求或描述消息正文。3.一个空行指示所有关于请求的元数据已经发送完毕。4.一个可选的包含请求相关数据的正文(比如HTML表单内容),或者响应相关的文档。正文的大小有起始行的HTTP头来指定。PUTHEADGETGETGEThttp://developer.mozilla.org/en-US/docs/Web/HTTP/MessagesHTTP/1.1CONNECTCONNECTdeveloper.mozilla.org:80HTTP/1.1OPTIONS*HTTP/1.1OPTIONS起始行和HTTP消息中的HTTP头统称为请求头,而其有效负载被称为消息正文。1.1.3HTTP请求(1)起始行HTTP请求是由客户端发出的消息,用来使服务器执行动作。起始行(start-line)包含三个元素:1.一个HTTP方法,一个动词([GET,或者POST)或者一个名词(像或者OPTIONS),描述要执行的动作.例如,示向服务器推送数据(创建或修改资源)。表示要获取资源,POST表2.请求目标(requesttarget),通常是一个URL,或者是协议、端口和域名的绝对路径,通常以请求的环境为特征。请求的格式因不同的HTTP方法而异。它可以是:一个完整的URL,被称为绝对形式(absoluteform),主要在使用方法连接到代理时使用。由域名和可选端口(以':'为前缀)组成的URL的authoritycomponent,称为authorityform。仅在使用道时才使用。建立HTTP隧星号形式(asteriskform),一个简单的星号('*'),配合方法使用,代表整个服务器...
