Web应用安全：HTTP回应报文.pptxVIP

HTTP回应报文 HTTP回应报文 HTTP的响应报文也由三部分组成（响应行+响应头+响应体） HTTP回应报文 ①报文协议及版本； ②状态码及状态描述； 1、响应行 HTTP回应报文 ③响应报文头，也是由多个属性组成 2、响应头 HTTP请求报文 3、响应体体 ④响应报文体，即我们真正要的“干货” HTTP请求报文 4、常见的HTTP响应报文头属性 响应输出到客户端后，服务端通过该报文头属告诉客户端如何控制响应内容的缓存。 常见的取值有private、public、no-cache、max-age，no-store，默认为private。 private: 客户端可以缓存 public: 客户端和代理服务器都可缓存（前端的同学，可以认为public和private是一样的） max-age=xxx: 缓存的内容将在 xxx 秒后失效 no-cache: 需要使用对比缓存来验证缓存数据 no-store: 所有内容都不会缓存 4.1、Cache-Control HTTP请求报文 4、HTTP请求报文头属性 一个代表响应服务端资源（如页面）版本的报文头属性，如果某个服务端资源发生变化了，这个ETag就会相应发生变化。它是Cache-Control的有益补充，可以让客户端“更智能”地处理什么时候要从服务端取资源，什么时候可以直接从缓存中返回响应。 4.2、ETag HTTP请求报文 4、HTTP请求报文头属性 我们在JSP中让页面Redirect到一个某个A页面中，其实是让客户端再发一个请求到A页面，这个需要Redirect到的A页面的URL，其实就是通过响应报文头的Location属性告知客户端的，如下的报文头属性，将使客户端redirect到iteye的首页中： 4.3、Location HTTP请求报文 4、HTTP请求报文头属性 服务端可以设置客户端的Cookie，其原理就是通过这个响应报文头属性实现的： 4.4、Set-Cookie 4、HTTP请求报文头属性 客户端请求服务器，如果服务器需要记录该用户状态，就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时，浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie，以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。 4.5、Cookie机制 5、响应状态码 和请求报文相比，响应报文多了一个“响应状态码”，它以“清晰明确”的语言告诉客户端本次请求的处理结果。 HTTP的响应状态码由5段组成： 1xx 消息，一般是告诉客户端，请求已经收到了，正在处理，别急... 2xx 处理成功，一般表示：请求收悉、我明白你要的、请求已受理、已经处理完成等信息. 3xx 重定向到其它地方。它让客户端再发起一个请求以完成整个处理。 4xx 处理发生错误，责任在客户端，如客户端的请求一个不存在的资源，客户端未被授权，禁止访问等。 5xx 处理发生错误，责任在服务端，如服务端抛出异常，路由出错，HTTP版本不支持等。