网络协议安全分析 课件 项目8 应用层协议HTTP

单击此处编辑母版标题样式

HTTP工作流程学习内容HTTP应用场景0102HTTP工作流程03总结

HTTP应用场景1HTTP（HyperTextTransferProtocol，超文本传输协议）是因特网上应用最为广泛的一种网络传输协议，所有的WWW文件都必须遵守这个标准。HTTP是基于TCP/IP通信协议来传递数据（HTML文件,图片文件,查询结果等）的。RFC2616：/rfc/rfc2616.txt

HTTP应用场景1HTTP是一种面向连接的请求响应式协议。主机AWeb服务器请求响应

HTTP应用场景1HTTP是一种面向连接的请求响应式协议。主机AWeb服务器

HTTP应用场景1HTTP是TCP/IP协议的一个应用层协议，用于定义Web浏览器与Web服务器之间交换数据的过程。客户端连上Web服务器后，若想获得Web服务器中的某个Web资源，需遵守一定的通讯格式，HTTP协议就是用于定义客户端与Web服务器通迅的格式。

HTTP应用场景1Web服务器有：Apache服务器，IIS服务器、Tomcat服务器等。Web服务器根据接收到的请求，向客户端发送响应信息。HTTP默认端口号为80，但也可以改为8080或者其它端口。

HTTP工作流程2HTTP通信协议流程WebBrowserDatabaseHTTPServerCGIProgramHTTPProtocol

HTTP工作流程2CGI（CommonGatewayInterface）是HTTP服务器与机器上的程序进行“交谈”的一种工具，其程序须运行在网络服务器上。绝大多数的CGI程序被用来解释处理来自表单的输入信息，并在服务器产生相应的处理，或将相应的信息反馈给浏览器。CGI程序使网页具有交互功能。

HTTP工作流程2HTTP协议版本主要分为：HTTP/1.0、HTTP/1.1、HTTP/2。在HTTP/1.0协议中，客户端与Web服务器建立连接后，只能获得一个Web资源；在HTTP/1.1协议中，允许客户端与Web服务器建立连接后，在一个连接上获取多个Web资源；在HTTP/2协议中，允许同时通过单一的HTTP/2连接发起多重的请求-响应消息。

HTTP工作流程2HTTP无连接：无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求，并收到客户的应答后，即断开连接。采用这种方式可以节省传输时间。HTTP媒体独立：这意味着，只要客户端和服务器知道如何处理数据内容，任何类型的数据都可以通过HTTP发送。客户端以及服务器指定使用适合的MIME-type内容类型。

HTTP工作流程2HTTP无状态：HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。另一方面，在服务器不需要先前信息时应答较快。

HTTP工作流程2MIMEType是资源的媒体类型，MIMEType不是个人指定的，是经过IETF组织协商，以RFC的形式，作为建议标准发布在网上的，大多数的Web服务器和用户代理都会支持这个规范（Email附件的类型也是通过MIMEType指定的）。

HTTP工作流程2媒体类型通常通过HTTP协议，由Web服务器告知浏览器，更准确地说，是通过Content-Type来表示的。例如：Content-Type：text/HTML。通常只有一些互联网上获得广泛应用的格式才会获得一个MIMEType，如果是某个客户端自己定义的格式，一般只能以application/x-开头。总结3HTTP协议是建立在TCP协议基础之上的，属于应用层协议。HTTP规定：HTTP通信是无状态的，即上一次通信过程和下一次通信过程没有任何关系（每次通信都包含独立过程：建立连接、客户端发起请求、服务器给出响应、关闭连接）。在HTTP/1.0时代，遵循这样的过程。在互联网时代由于传递的信息多样化（图片、音频、视频等），每次建立连接之后断开，则花费在连接上的开销很大。HTTP/1.1协议提出持续连接（KeepAlive）的方式，即一次连接建立之后，可以多次通信之后再断开，HTTP/1.1协议默认方式为KeepAliveOn。

谢谢单击此处编辑母版标题样式

HTTP报文格式分析学习内容HTTP消息结构0102HTTP请求方法03HTTP响应头信息04总结

HTTP消息结构1HTTP是基于浏览器/服务器（B/S）架构，通过一个可靠的连接来交换信息，是一个无状态的请求/响应协议。

HTTP消息结构-请求报文1空行报文主体请求行（方法、URL、HTTP版本）报文首部请求首部字段通用首部字段实体首部字段

HTTP消息结构-响应报文1空行报文主体状态行（HTTP版本、状态码）报文首部响应首部字段通用首部字段实体首部字段

HTTP请求方法2根据HTTP标准，HTTP请求可以使用多种请求方法。HTTP/1.0定义了三种请求方法：GET,POST和HEAD方法。HTTP/1.1新增了六种请求方法：OPTIONS、PUT、PATCH、DELETE、TRACE和CONNECT方法。

HTTP请求方法2序号方法描述1GET请求指定的页面信息，并返回实体主体。2HEAD类似于GET请求，只不过返回的响应中没有具体的内容，用于获取报头3POST向指定资源提交数据进行处理请求（例如提交表单或者上传文件）。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。4PUT从客户端向服务器传送的数据取代指定的文档的内容。5DELETE请求服务器删除指定的页面。6CONNECTHTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。7OPTIONS允许客户端查看服务器的性能。8TRACE回显服务器收到的请求，主要用于测试或诊断。9PATCH是对PUT方法的补充，用来对已知资源进行局部更新。

HTTP请求方法2

HTTP响应头信息3序号响应头说明1allow服务器支持哪些请求方法（如GET、POST等）。2Content-Encoding文档的编码（Encode）方法。只有在解码之后才可以得到Content-Type头指定的内容类型。利用gzip压缩文档能够显著地减少HTML文档的下载时间。3Content-Length表示内容长度。只有当浏览器使用持久HTTP连接时才需要这个数据。如果你想要利用持久连接的优势，可以把输出文档写入ByteArrayOutputStream，完成后查看其大小，然后把该值放入Content-Length头，最后通过byteArrayStream.writeTo(response.getOutputStream()发送内容。4Content-Type表示后面的文档属于什么MIME类型。Servlet默认为text/plain，但通常需要显式地指定为text/html。5Date当前的GMT时间。你可以用setDateHeader来设置这个头以避免转换时间格式的麻烦。

HTTP响应头信息3序号响应头说明6Expires应该在什么时候认为文档已经过期，从而不再缓存它？7Last-Modified文档的最后改动时间。客户可以通过If-Modified-Since请求头提供一个日期，该请求将被视为一个条件GET，只有改动时间迟于指定时间的文档才会返回，否则返回一个304（NotModified）状态。8Location表示客户应当到哪里去提取文档。。9Refresh表示浏览器应该在多少时间之后刷新文档，以秒计。10Server服务器名字。11Set-Cookie设置和页面关联的Cookie。12WWW-Authenticate客户应该在Authorization头中提供什么类型的授权信息？

HTTP响应头信息3以下为常见的HTTP状态码（HTTPStatusCode）：200：请求成功301：资源（网页等）被永久转移到其它URL404：请求的资源（网页等）不存在500：内部服务器错误

HTTP响应