当前位置：首页 > news >正文

tryhackme-Pre Security-HTTP in Detail（HTTP的详细内容）

news 2025/7/12 18:39:29

任务一：What is HTTP(S)?（什么是http（s））

1.What is HTTP? (HyperText Transfer Protocol)（什么是 HTTP？（超文本传输协议））

http是你查看网站的时候遵循的协议。由 Tim Berners-Lee 和他的团队在 1989 年至 1991 年间开发。HTTP 是用于与 Web 服务器通信以传输网页数据（无论是 HTML、图像、视频等）的规则集。

2.What is HTTPS? (HyperText Transfer Protocol Secure)（什么是 HTTPS？（安全超文本传输协议））

HTTPS 是 HTTP 的安全版本。 HTTPS 数据是加密的，因此它不仅可以阻止人们看到您接收和发送的数据，还可以确保您正在与正确的 Web 服务器通信，而不是冒充它。

任务二：Requests And Responses（请求和响应）

What is a URL? (Uniform Resource Locator)（什么是 URL？（统一资源定位器））

如果您曾经使用过 Internet，那么您以前也使用过 URL。URL 主要是有关如何访问 Internet 上的资源的指令。下图显示了 URL 及其所有功能的外观（它不会在每个请求中使用所有功能）。

Scheme: 这指示使用什么协议来访问资源，例如 HTTP、HTTPS、FTP（文件传输协议）。

User: 某些服务需要身份验证才能登录，您可以在 URL 中输入用户名和密码才能登录。

Host: 您要访问的服务器的域名或 IP 地址。

Port: 您要连接的端口，通常为 80 用于 HTTP，443 用于 HTTPS，但这可以托管在 1 - 65535 之间的任何端口上。

Path: 您尝试访问的资源的文件名或位置。

Query String: 可以发送到请求路径的额外信息位。例如，/blog？id=1 将告知博客路径您希望接收 ID 为 1 的博客文章。

Fragment: 这是对请求的实际页面上的位置的引用。这通常用于内容较长的页面，并且可以将页面的某个部分直接链接到该页面，因此用户一旦访问该页面即可查看该页面。

Making a Request提出请求

请求示例：

GET / HTTP/1.1
Host: tryhackme.com
User-Agent: Mozilla/5.0 Firefox/87.0
Referer: https://tryhackme.com/

要分解此请求的每一行，请执行以下操作：

第 1 行：此请求将发送 GET 方法（在 HTTP 方法任务中，有更多相关信息），请求带有 / 的主页，并告知 Web 服务器我们使用的是 HTTP 协议版本 1.1。

第 2 行：我们告诉 Web 服务器我们希望网站 tryhackme.com

第 3 行：我们告诉 Web 服务器我们使用的是 Firefox 版本 87 浏览器

第 4 行：我们告诉 Web 服务器，将我们推荐到此网页的网页是 https://tryhackme.com

第 5 行：HTTP 请求始终以空行结尾，以通知 Web 服务器请求已完成。

响应示例：

HTTP/1.1 200 OK
Server: nginx/1.15.8
Date: Fri, 09 Apr 2021 13:34:03 GMT
Content-Type: text/html
Content-Length: 98<html>
<head><title>TryHackMe</title>
</head>
<body>Welcome To TryHackMe.com
</body>
</html>

第 1 行：HTTP 1.1 是服务器正在使用的 HTTP 协议版本，然后是 HTTP 状态代码（在本例中为“200 Ok”），这告诉我们请求已成功完成。

第 2 行：这告诉我们 Web 服务器软件和版本号。

第 3 行：Web 服务器的当前日期、时间和时区。

第 4 行：Content-Type 标头告诉客户端将发送哪种信息，例如 HTML、图像、视频、pdf、XML。

第 5 行：Content-Length 告诉客户端响应的数据有多少，这样我们就可以确认没有丢失数据。

第 6 行：HTTP 响应包含一个空行，用于确认 HTTP 响应的结束。

第 7-14 行：已请求的信息，在本例中为主页。

任务三：HTTP Methods（HTTP方法）

HTTP 方法是客户端在发出 HTTP 请求时显示其预期操作的一种方式。HTTP 方法有很多，但我们将介绍最常见的方法，但大多数情况下您将处理 GET 和 POST 方法。

GET Request获取请求

这用于从 Web 服务器获取信息。

POST Request发布请求

这用于将数据提交到 Web 服务器并可能创建新记录

PUT Request放请求

这用于将数据提交到 Web 服务器以更新信息

DELETE Request 删除请求

这用于从 Web 服务器中删除信息/记录。

任务四：HTTP Status Codes（HTTP状态码）

在上一个任务中，您了解到，当 HTTP 服务器响应时，第一行始终包含一个状态代码，告知客户端其请求的结果以及可能如何处理该请求。这些状态代码可以分为 5 个不同的范围：

HTTP 协议状态代码：

100-199 - 信息响应	这些发送来告诉客户端他们请求的第一部分已经接受，他们应该继续发送其请求的其余部分。这些代码不再很常见。
200-299 - 成功	此状态代码范围用于告诉客户端其请求成功。
300-399 - 重定向	这些用于将客户端的请求重定向到另一个资源。这可以要么访问不同的网页，要么完全访问不同的网站。
400-499 - 客户端错误	用于通知客户端其请求有错误。
500-599 - 服务器错误	这保留给服务器端发生的错误，并且通常表示处理请求的服务器存在相当大的问题。

常见的 HTTP 状态代码：

200 - 正常	请求已成功完成。
201 - 已创建	已创建资源（例如，新用户或新博客文章）。
301 - 永久移动	这将客户端的浏览器重定向到新网页或告诉搜索引擎页面已移动到其他地方，而是查看那里。
302 - 找到	与上述永久重定向类似，但顾名思义，这只是一个临时更改，并且在不久的将来可能会再次更改。
400 - 错误请求	这告诉浏览器其请求。如果 Web 服务器资源是被请求需要某个 Client 端没有的某个参数发送。
401 - 未授权	你不是当前允许查看此资源，直到您授权使用 Web 应用程序（通常是用户名和密码）。
403 - 禁止	无论您是否登录，您都无权查看此资源。
405 - 不允许使用	资源不允许此方法请求，例如，您发送 GET 请求发送到资源 /create-account （当它需要 POST 时）请求。
404 - 未找到页面	您请求的页面/资源不存在。
500 - 内部服务错误	服务器在您的请求中遇到了某种错误，它不知道如何正确处理。
503 - 服务不可用	此服务器无法处理您的请求，因为它已过载或停机进行维护。

任务五：Headers（HTTP请求头）

Common Request Headers通用请求标头

Host: 一些 Web 服务器托管多个网站，因此通过提供主机标头，您可以告诉它您需要哪个网站，否则您只会收到服务器的默认网站。

User-Agent: 这是您的浏览器软件和版本号，告诉 Web 服务器您的浏览器软件有助于它为您的浏览器正确格式化网站，并且 HTML、JavaScript 和 CSS 的某些元素仅在某些浏览器中可用。

Content-Length: 将数据发送到 Web 服务器（例如在表单中）时，内容长度会告知 Web 服务器 Web 请求中预期有多少数据。这样，服务器可以确保它不会丢失任何数据。

Accept-Encoding: 告诉 Web 服务器浏览器支持哪些类型的压缩方法，以便可以缩小数据以通过 Internet 传输。

Cookie: 身份验证

Common Response Headers常见响应标头

These are the headers that are returned to the client from the server after a request.

Set-Cookie: 要存储的信息将在每个请求中发送回 Web 服务器

Cache-Control:在浏览器再次请求响应之前，将响应内容存储在浏览器的缓存中多长时间。

Content-Type: 这会告诉客户端返回什么类型的数据，即 HTML、CSS、JavaScript、图像、PDF、视频等。使用 content-type 标头，浏览器就可以知道如何处理数据。

Content-Encoding: 通过 Internet 发送数据时，使用了什么方法来压缩数据以使其更小。

任务六：Cookies（cookies值）

您以前可能听说过 cookie，它们只是存储在您计算机上的一小段数据。当您从 Web 服务器收到 “Set-Cookie” 标头时，将保存 Cookie。然后，您发出的每个进一步请求，您都会将 cookie 数据发送回 Web 服务器。由于 HTTP 是无状态的（不会跟踪您以前的请求），因此 cookie 可用于提醒 Web 服务器您是谁、网站的一些个人设置或您以前是否访问过该网站。让我们看一下这个 HTTP 请求示例：