HTTP协议(5)HTTP请求和响应
之前曾介紹過,所有的HTTP通信都被構造成一對HTTP請求和HTTP響應,HTTP協議的請求與響應報文都是由“首部header”和“主體body”兩部分組成的。其中主體部分是請求和響應的數據,首部部分則規定了請求和響應的內容格式。
1.HTTP請求
對于HTTP請求報文,主要由三部分組成:請求行、請求頭、請求正文。在請求頭和請求正文之間一般會有兩個空行進行間隔。
下圖是用Burpsuite截獲的請求報文。
HTTP請求報文的第一行即為請求行,這個報文的請求行就是“GET / HTTP/1.1”。
請求行由三部分組成:
- 第一部分“GET”,表明該請求是采用GET方法;
- 第二部分“/”,表明請求訪問的頁面,“/”是指網站根目錄,也就是要訪問網站的首頁。它結合請求頭的Host字段可以組成一個完整的請求URL:“×××w.51cto.com/”
- 第三部分“HTTP1.1”,表明所使用的HTTP協議版本,目前所使用的都是HTTP1.1版本。
對于這個報文,由于采用的是GET方法,因而沒有請求正文。從第二行直至最后一行,都屬于是請求頭(也被稱為消息頭),服務端據此獲取客戶端的信息。我們應當熟知請求頭中的內容,這在后面會詳細介紹。
請求正文是可選的,它最常出現在POST請求方法中。比如打開一個用戶登錄頁面,此時攔截到的HTTP請求就包含完整的三個組成部分。
2.HTTP響應
HTTP響應報文總體上也是由三部分組成:響應行、響應頭、響應正文。
下圖是響應報文。
- HTTP響應的第一行為響應行,其中有HTTP版本(HTTP/1.1)、狀態碼(200)以及消息“OK”。
- 第二行至末尾的空白行為響應頭,由服務器向客戶端發送。
- 響應頭之后是響應正文,是由服務器向客戶端發送的HTML數據。
響應報文中的狀態碼和響應頭都比較重要,這個在后面也會詳細介紹。
3.例題:你必須讓他停下
BugKu http://123.206.87.240:8002/web12/
打開網頁之后,發現頁面在不停地刷新。查看源碼,可以發現是通過一段Javascript的腳本來實現頁面刷新的。
根據頁面中的提示“Stop at panda ! u will get flag”,再觀察到頁面每刷新一次,<img>標簽中src屬性所指定的圖片來源也在隨之變化,因而可以推測,當顯示到指定的圖片時,就應該會出現flag。但是flag是通過a標簽來輸出的,a標簽又加了一個style="display:none"的屬性,也就是讓a標簽的內容不在頁面上顯示。所以即使刷新到合適的圖片,在頁面上也看不到flag,而只能通過源碼查看。
明白了原理之后,接下來就很簡單了。我們可以在Burpsuite中通過Repeater模塊反復發送HTTP請求,每次所返回的HTTP響應也應該是在不斷變化的,而且還可以直接看到響應的源碼。果然當顯示到10.jpg時,flag就出來了。
總結
以上是生活随笔為你收集整理的HTTP协议(5)HTTP请求和响应的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【落地为王】域乎区块链应用之影视文化篇:
- 下一篇: 千万级、百万级数据删除优化