HTTP協議響應頭部的內容
服務器端接收到用戶的請求包後,會根據其中的請求內容進行處理,並且返回HTTP響應消息,HTTP響應包與請求包的結構類似,也由三個部分組成,分別是響應行、響應消息報頭、響應正文;
(1)響應行
響應行的基本格式爲:
HTTP-Version Status-Code Reason-Phrase CRLF
- HTTP-Version:表示服務器HTTP協議的版本;
- Status-Code:服務器發回的響應狀態碼;
- Reason-Phrase:狀態碼的文本描述;
服務器狀態碼
服務器狀態碼用來告知客戶端Web服務對本次的請求響應狀態是什麼,狀態碼由三位數字組成,其中第一個數字定義了響應的類別,有以下五種可能:
- 1XX 表示提示信息,說明請求已被成功接收,繼續處理;
- 2XX 表示成功,說明請求已被成功接收、理解、接受;
- 3XX 表示重定向, 完成請求必須進行更進 步處理;
- 4XX 表示客戶端錯誤,請求有語法錯誤或請求無法實現;
- 5XX 表示服務器端錯 ,服務器處理請求時出錯;
後面兩位數字會利用不同的數字來代表當前服務的狀態,以下是常見狀態碼及狀態描述:
200: OK ,客戶端請求成功;
301: Permanently Moved ,頁面重定向;
203: Temporarily Moved ,頁面臨時重定向;
400: Bad Request ,客戶端請求有語法錯誤,不能被服務器所理解;
401: Unauthorized ,請求未 授權,這個狀態代碼必須和 WWW-Authenticate一起使用;
403: Forbidden ,服務器收到請求,但是拒絕提供服務;
404: Not Found ,請求資源不存在,或者請求無法;
500: Internal Server Error ,服務器發生不可預期的錯誤;
503: Server Unavailable ,服務器當前不能處理客戶端的請求, 段時間後可能恢復正常;
(2)響應消息報文
響應消息報文允許服務器傳遞不能放在響應行中的附加響應信息,以及關於服務器的信息和對Request-URL所標識的資源進行下一步訪問的信息;
常用的響應消息報頭有以下內容:
- Server:包含服務器用來處理請求的軟件信息,在響應包中Server信息與請求包中User-Agent信息的作用非常類似,都是將自身的版本告知對方;
- X-Powered-By:標識實現當前Web站點所採用的的語音及版本號;
- Set-cookie:根據響應包生成Cookie,並且提供給客戶端;
- Content-Length:與請求包中的用法相同,用以標識當前響應包中的內容長度;
(3)響應正文內容
相對於請求包中的正文內容,響應包中的內安全會攜帶當前頁面的源碼,客戶端瀏覽器可以根據響應包中的源碼顯示出完整的頁面,從安全的角度來說,對於響應包中的正文內容,直接觀看瀏覽器會直觀、方便得多,因此在Web安全研究時,無需關注這部分內容;