HTTP协议基础

明文

无内建的机密性安全机制

嗅探或代理截断可查看全部明文信息

https只能提高传输层安全

无状态

每一次客户端和服务端的通信都是独立的过程

web应用需要跟踪客户端会话（多步通信）

不使用cookie的应用，客户端每次请求都要从新验证身份（不现实）

session用于在用户身份验证后跟踪用户行为轨迹

提高用户体验，但增加了攻击向量

http请求包

Cycle

一个请求/一个响应的最小单元

重要的header

set-Cookie：服务器发给客户端的SessionID（被窃取的风险）

Content-Length：响应body部分的字节长度

Location：重定向用户到另一页面，可识别身份验证后允许访问的页面

Cookie：客户端发回服务器证明用户状态的信息

Referrer：发起新请求之前用户位于那个页面，服务器基于此头的安全限制很容易被修改绕过

100：服务器响应信息

200：请求被服务器成功接受并处理后返回的响应结果

300：重定向，通常在身份认证成功后从定向到一个安全页面

400：客户端请求错误

401：需要身份验证

403：访问拒绝

404：目标未发现

500：服务器内部错误（503：服务器不可用）

原文地址：https://www.cnblogs.com/gudexiao-1996/p/11428227.html