- 安全测试教程
- 安全测试 - 首页
- 安全测试 - 概述
- 安全测试 - 流程
- 安全测试 - 恶意软件
- HTTP 协议基础
- HTTPS 协议基础
- 编码和解码
- 安全测试 - 密码学
- 安全测试 - 同源策略
- 安全测试 - Cookie
- 黑客攻击 Web 应用程序
- 安全测试 - 注入攻击
- 测试身份验证漏洞
- 测试跨站脚本攻击
- 不安全的直接对象引用
- 测试安全配置错误
- 测试敏感数据泄露
- 缺少函数级访问控制
- 跨站请求伪造
- 存在漏洞的组件
- 未验证的重定向和转发
- 安全测试 - Ajax 安全
- 安全测试 - Web 服务
- 安全测试 - 缓冲区溢出
- 安全测试 - 拒绝服务攻击
- 测试恶意文件执行
- 安全测试 - 自动化工具
- 安全测试有用资源
- 安全测试 - 快速指南
- 安全测试 - 有用资源
- 安全测试 - 讨论
安全测试 - HTTP 响应
HTTP 响应
服务器在接收和解释请求消息后,将返回一个 HTTP 响应消息:
状态行
零个或多个报头(通用|响应|实体)字段,后跟 CRLF
空行(即,在 CRLF 之前没有任何内容的行),表示报头字段的结束
可选的消息正文
以下部分解释了 HTTP 消息中使用的每个实体:
消息状态行
状态行由协议版本、数字状态码及其关联的文本短语组成。这些元素用空格 SP 字符分隔。
Status-Line = HTTP-Version SP Status-Code SP Reason-Phrase CRLF
让我们讨论状态行中提到的每个部分。
HTTP 版本
支持 HTTP 1.1 版本的服务器将返回以下版本信息:
HTTP-Version = HTTP/1.1
状态码
状态码元素是一个三位整数,其中状态码的第一位数字定义了响应的类别,后两位数字没有任何分类作用。第一位数字有五个值:
| 序号 | 值和描述 |
|---|---|
| 1 | 1xx:信息性 这意味着请求已收到,正在继续处理。 |
| 2 | 2xx:成功 这意味着操作已成功接收、理解和接受。 |
| 3 | 3xx:重定向 这意味着必须采取进一步的操作才能完成请求。 |
| 4 | 4xx:客户端错误 这意味着请求包含错误的语法或无法完成。 |
| 5 | 5xx:服务器错误 服务器未能完成明显有效的请求。 |
HTTP 状态码是可扩展的,HTTP 应用程序不需要理解所有已注册状态码的含义。
响应报头字段
响应报头字段允许服务器传递有关响应的附加信息,这些信息无法放置在状态行中。这些报头字段提供有关服务器以及进一步访问由 Request-URI 标识的资源的信息。
- Accept-Ranges
- Age
- ETag
- Location
- Proxy-Authenticate
- Retry-After
- Server
- Vary
- WWW-Authenticate
如果您希望编写自己的自定义 Web 客户端和服务器,则可以引入自定义字段。
响应消息示例
现在让我们将所有内容组合在一起,形成从运行在 tutorialspoint.com 上的 Web 服务器获取hello.htm页面的请求的 HTTP 响应。
HTTP/1.1 200 OK
Date: Mon, 27 Jul 2009 12:28:53 GMT
Server: Apache/2.2.14 (Win32)
Last-Modified: Wed, 22 Jul 2009 19:15:56 GMT
Content-Length: 88
Content-Type: text/html
Connection: Closed
<html>
<body>
<h1>Hello, World!</h1>
</body>
</html>
以下是一个 HTTP 响应消息示例,显示当 Web 服务器找不到请求的页面时的错误情况:
HTTP/1.1 404 Not Found
Date: Sun, 18 Oct 2012 10:36:20 GMT
Server: Apache/2.2.14 (Win32)
Content-Length: 230
Connection: Closed
Content-Type: text/html; charset = iso-8859-1
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html>
<head>
<title>404 Not Found</title>
</head>
<body>
<h1>Not Found</h1>
<p>The requested URL /t.html was not found on this server.</p>
</body>
</html>
以下是一个 HTTP 响应消息示例,显示当 Web 服务器在给定的 HTTP 请求中遇到错误的 HTTP 版本时的错误情况:
HTTP/1.1 400 Bad Request
Date: Sun, 18 Oct 2012 10:36:20 GMT
Server: Apache/2.2.14 (Win32)
Content-Length: 230
Content-Type: text/html; charset = iso-8859-1
Connection: Closed
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html>
<head>
<title>400 Bad Request</title>
</head>
<body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<p>
<p>The request line contained invalid characters following the protocol string.<p>
</body>
</html>
http_protocol_basics.htm
广告