web安全之http请求头文件的含义

1、GET /ic.asp HTTP/1.1
2、Host: 1212.ip138.com
3、User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.16 (KHTML, like Gecko) Chrome/10.0.648.133 Safari/534.16
4、Accept:text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
5、Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
6、Accept-Encoding: gzip, deflate
7、Referer: http://www.ip138.com/
8、Cookie: pgv_pvi=8756078592; _qddaz=QD.34lwcn.f1mkkb.j0drhz87; pgv_si=s5219565568; ASPSESSIONIDQSSQSRRR=BODNAFMCBNGIHECGOMOECBGI
9、X-Forwarded-For: 1.2.3.4
10、Connection: close
11、Upgrade-Insecure-Requests:
解析：
HTTP请求格式
当浏览器向Web服务器发出请求时，它向服务器传递了一个数据块，也就是请求信息，HTTP请求信息由3部分组成：
请求方法URI协议/版本
请求头(Request Header)
请求正文
1、GET方法：
GET方法是默认的HTTP请求方法，我们日常用GET方法来提交表单数据，然而用GET方法提交的表单数据只经过了简单的编码，同时它将作为URL的一部分向Web服务器发送，因此，如果使用GET方法来提交表单数据就存在着安全隐患上。从上面的URL请求中，很容易就可以辩认出表单提交的内容。另外由于GET方法提交的数据是作为URL请求的一部分所以提交的数据量不能太大
2、Host: 域名
Host表示请求的服务器网址；
3、User-Agent的内容包含发出请求的用户信息
4、Accept:text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
意思：浏览器支持的 MIME 类型分别是 text/html、application/xhtml+xml、application/xml 和 /，优先顺序是它们从左到右的排列顺序。
Accept表示浏览器支持的 MIME 类型；
　　MIME的英文全称是 Multipurpose Internet Mail Extensions（多功能 Internet 邮件扩充服务），它是一种多用途网际邮件扩充协议，在1992年最早应用于电子邮件系统，但后来也应用到浏览器。
text/html,application/xhtml+xml,application/xml
都是 MIME 类型，也可以称为媒体类型和内容类型，斜杠前面的是 type（类型），斜杠后面的是 subtype（子类型）；type 指定大的范围，subtype 是 type 中范围更明确的类型，即大类中的小类。
　　Text：用于标准化地表示的文本信息，文本消息可以是多种字符集和或者多种格式的；
　　text/html表示 html 文档；
　　Application：用于传输应用程序数据或者二进制数据；
　　application/xhtml+xml表示 xhtml 文档；
　　application/xml表示 xml 文档。
5、Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
浏览器支持的语言分别是中文和简体中文，优先支持简体中文。
Accept-Language表示浏览器所支持的语言类型；zh-cn表示简体中文；zh 表示中文；
q是权重系数，范围 0 =< q <= 1，q 值越大，请求越倾向于获得其“;”之前的类型表示的内容，若没有指定 q 值，则默认为1，若被赋值为0，则用于提醒服务器哪些是浏览器不接受的内容类型。
6、Accept-Encoding: gzip, deflate
指定浏览器可以支持的web服务器返回内容压缩编码类型
意思：浏览器支持的压缩编码是 gzip 和 deflate。
详解：Accept-Encoding表示浏览器有能力解码的编码类型；
　　gzip是 GNU zip 的缩写，它是一个 GNU 自由软件的文件压缩程序，也经常用来表示 gzip 这种文件格式。
　　deflate是同时使用了 LZ77 算法与哈夫曼编码（Huffman Coding）的一个无损数据压缩算法。
User-Agent: Mozilla/5.0 (compatible;域名)
　　意思：使用的用户代理是 Mozilla/5.0 (compatible; 域名)。
　　详解：
　　User-Agent（用户代理），简称 UA，它是一个特殊字符串头，使得服务器能够识别客户端使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。
　　Mozilla/5.0：Mozilla 是浏览器名，版本是 5.0；
　　compatible（兼容的）表示平台是兼容模式；
7、Referer: http://www.ip138.com/
告诉服务器我是从哪个页面链接过来的，服务器基此可以获得一些信息用于处理。
HTTP请求格式
当浏览器向Web服务器发出请求时，它向服务器传递了一个数据块，也就是请求信息
8、会把保存在该请求域名下的所有cookie值一起发送给web服务器。
9、X-Forwarded-For: 1.2.3.4
10、Connection: Keep-Alive
　　Connection表示客户端与服务器连接类型；
Keep-Alive表示持久连接；
close指的是服务器发送给客户端后属于关闭状态