Http詳解及請求抓包工具使用

1、Http詳解及請求/抓包工具的使用 數(shù)據(jù)中心 數(shù)據(jù)應(yīng)用開發(fā)部 陳琦主講人：呂偉豐、陳琦Http詳解Https詳解Http報文請求工具Postman使用介紹網(wǎng)絡(luò)抓包工具Wireshark使用介紹Http概述 什么是Http？l 超文本傳輸協(xié)議( Hypertext Transfer Protocol，簡稱HTTP)是應(yīng)用層協(xié)議。HTTP 是一種請求/響應(yīng)式的協(xié)議，即一個客戶端與服務(wù)器建立連接后，向服務(wù)器發(fā)送一個請求;服務(wù)器接到請求后，給予相應(yīng)的響應(yīng)信息。 什么是Http報文？l http報文是在http應(yīng)用程序之間發(fā)送的數(shù)據(jù)塊（也可稱為數(shù)據(jù)包數(shù)據(jù)包）、這些數(shù)據(jù)塊以一些文本的元信息（meta-in

2、formation）開頭，描述了報文的內(nèi)容及含義，后面跟著可選的數(shù)據(jù)部分，這些報文在客戶端、服務(wù)器和代理之間流動Http請求報文組成概述請求：由請求行、請求頭、請求體三大部分以及一空行組成n 請求行：請求方法+1空格+URL+1空格+Http協(xié)議版本+1回車+1換行符請求方法包括GET、HEAD、PUT、POST、TRACE、OPTIONS、DELETE以及擴展方法協(xié)議版本一般為Http/1.0,Http/1.1n 請求頭：由若干個Key/Value結(jié)構(gòu)的請求頭參數(shù)組成，具體參數(shù)說明n 空白行：用于標識請求頭的結(jié)束n 請求體：可選，由若干個Key/Value結(jié)構(gòu)的請求體參數(shù)組成Http請求報文

3、組成請求方法 Http/1.0：Get，Post，Head Http/1.1：在1.0基礎(chǔ)上新增OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法序號序號方法方法描述描述1Get請求指定的頁面信息，并返回實體主體2Post向指定資源提交數(shù)據(jù)進行處理請求（例如提交表單或者上傳文件）。數(shù)據(jù)被包含在請求體中。POST請求可能會導(dǎo)致新的資源的建立和/或已有資源的修改。3Head類似于get請求，只不過返回的響應(yīng)中沒有具體的內(nèi)容，用于獲取報文頭4PUT從客戶端向服務(wù)器傳送的數(shù)據(jù)取代指定的文檔的內(nèi)容。5DELETE請求服務(wù)器刪除指定的頁面。6OPTIONS允許客戶端查看服務(wù)器

4、的性能。一般用于查看該URL支持的請求方法。7TRACE回顯服務(wù)器收到的請求，主要用于測試或診斷。8CONNECT HTTP/1.1協(xié)議中預(yù)留給能夠?qū)⑦B接改為管道方式的代理服務(wù)器。Http請求報文組成請求頭 下面僅列舉了一些常用的請求頭，還有一些用的比較少也就不一一列舉協(xié)議頭協(xié)議頭說明說明例子例子Accept可接受的響應(yīng)內(nèi)容類型（Content-Types）Accept: text/plainAccept-Charset可接受的字符集Accept-Charset: utf-8Accept-Language可接受的語言Accept-Language:zh-CN,zh;q=0.9Accept-En

5、coding可接受的響應(yīng)內(nèi)容的編碼方式，比如gzip。Servlet能夠向支持gzip的瀏覽器返回經(jīng)gzip編碼的HTML頁面。許多情形下這可以減少5到10倍的下載時間Accept-Encoding: gzip,deflateContent-Type請求體的MIME類型 （用于POST和PUT請求中）Content-Type: application/x-www-form-urlencodedCookie用于維持服務(wù)端會話狀態(tài)的，通常由服務(wù)端寫入，在后續(xù)請求中，供服務(wù)端讀取Cookie:JSESSIONID=97A6B3AC507685739FE8310771CD85BA; isLogin=t

6、rueHost表示服務(wù)器的域名以及服務(wù)器所監(jiān)聽的端口號。如果所請求的端口是對應(yīng)的服務(wù)的標準端口（80），則端口號可以省略。Host: Referer包含一個URL，用戶從該URL代表的頁面出發(fā)訪問當前請求的頁面Referer:http:/ Mozilla/5.0 (Windows NT 6.1; WOW64)Http響應(yīng)報文組成概述響應(yīng)：由響應(yīng)行、響應(yīng)頭、響應(yīng)體三大部分以及一空行組成n 響應(yīng)行：協(xié)議版本+1空格+狀態(tài)碼+1空格+狀態(tài)描述+1回車符+1換行符狀態(tài)代碼為3位數(shù)字，200299的狀態(tài)碼表示成功，300399的狀態(tài)碼指資源重定向，400499的狀態(tài)碼指客戶端請求出錯，500599的狀態(tài)

7、碼指服務(wù)端出錯n 響應(yīng)頭：由若干個Key/Value結(jié)構(gòu)的請求頭參數(shù)組成，具體參數(shù)說明n 空白行：用于標識請求頭的結(jié)束n 響應(yīng)正文：可選，由若干個Key/Value結(jié)構(gòu)的請求體參數(shù)組成Http響應(yīng)報文組成響應(yīng)頭 下面僅列舉了一些常用的響應(yīng)頭，還有一些用的比較少也就不一一列舉協(xié)議頭協(xié)議頭說明說明例子例子Server服務(wù)器所使用的Web服務(wù)器名稱Server:nginx/1.9.7Set-Cookie向客戶端設(shè)置Cookie。與Cookie請求頭相互對應(yīng)。Set-Cookie頭是服務(wù)器向客戶端設(shè)置Cookie，Cookie頭是客戶端向服務(wù)器傳客戶端已經(jīng)保存的Cookie信息Set-Cookie:u

8、sername=xxxContent-Language響應(yīng)資源所使用的語言Content-Language:zh-CN,zh;q=0.9Content-Encoding響應(yīng)資源所使用的編碼類型Content-Encoding: gzip,deflateContent-Type響應(yīng)體的MIME類型Content-Type: application/x-www-form-urlencodedContent-Length響應(yīng)消息體的長度，用8進制字節(jié)表示Content-Length:348Allow對于特定資源的有效動作Allow:GET,HEADHttp報文詳解Https釋義Http報文請求工具P

9、ostman使用介紹網(wǎng)絡(luò)抓包工具Wireshark使用介紹Https概述 什么是Https？l HTTPS（全稱：HyperText Transfer Protocol Secure），是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即在HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細內(nèi)容就需要SSL（Secure Socket Layer）。 Http的缺點l 通信使用明文（不加密），內(nèi)容可能會被竊聽l 不驗證通信方的身份，因此有可能遭遇偽裝l 無法證明報文的完整性，所以有可能已遭篡改HttpsHTTPS和HTTP的區(qū)別 HTTPS和HTTP的區(qū)別主要為以下四點l

10、 https協(xié)議需要到ca申請證書，一般免費證書很少，需要交費。l http是超文本傳輸協(xié)議，信息是明文傳輸，https 則是具有安全性的ssl加密傳輸協(xié)議l http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443l http的連接很簡單，是無狀態(tài)的；HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進行加密傳輸、身份認證的網(wǎng)絡(luò)協(xié)議，比http協(xié)議安全 HTTP+ 加密 + 認證 + 完整性保護=HTTPSHttps為什么不一直使用 HTTPS 因為與純文本通信相比，加密通信會消耗更多的CPU 及內(nèi)存資源。如果每次通信都加密，會消耗相當多的資源，平攤到一臺計算機

11、上時，能夠處理的請求數(shù)量必定也會隨之減少。因此，如果是非敏感信息則使用 HTTP 通信，只有在包含個人信息等敏感數(shù)據(jù)時，才利用 HTTPS 加密通信。 要進行 HTTPS 通信，證書是必不可少的。而使用的證書必須向認證機構(gòu)（CA）購買。證書價格可能會根據(jù)不同的認證機構(gòu)略有不同。Http報文詳解Https釋義Http報文請求工具Postman使用介紹網(wǎng)絡(luò)抓包工具Wireshark使用介紹Http請求工具的使用PostMan 打開PostMan后，首先是先通過Create New Request來建一個請求報文Http請求工具的使用PostMan PostMan中Post請求的四大參數(shù)格式l fo

12、rm-data:就是http請求中的multipart/form-data ，它會將表單的數(shù)據(jù)處理為一條消息，以標簽為單元，用分隔符分開。既可以上傳鍵值對，也可以上傳文件l x-www-form-urlencoded :就是application/x-www-from-urlencoded ，會將表單內(nèi)的數(shù)據(jù)轉(zhuǎn)換為鍵值對，比如,name=java&age = 23l raw :可以上傳任意格式的文本，可以上傳text、json、xml、html等l binary :相當于application/octet-stream ，從字面意思得知，只可以上傳二進制數(shù)據(jù)，通常用來上傳文件，由于沒有

13、鍵值，所以，一次只能上傳一個文件Http請求工具的使用PostMan 接口服務(wù)器有登入攔截的接口測試l 先請求登入接口l 再請求需要測試的接口Http請求工具的使用PostMan SpringMVC RequestBody請求參數(shù)在postman中的請求Http請求工具的使用PostMan PostMan的全局環(huán)境（Environment）Http請求工具的使用PostMan PostMan對接口做單元測試Http報文詳解Https釋義Http報文請求工具Postman使用介紹網(wǎng)絡(luò)抓包工具Wireshark使用介紹Http抓包工具的使用wireshark 用wireshark抓包Http抓包工具的使用wireshark 過濾表達式的規(guī)則過濾表達式的規(guī)則l 協(xié)議過濾：比如TCP，只顯示TCP協(xié)議l IP 過濾：比如 ip.src =02 顯示源地址為02， ip.dst=02, 目標地址為02l 端口過濾： tcp.port =80, 端口為80的， tcp.srcport = 80, 只顯示TCP協(xié)議的愿端口為80的l Http模式過濾： http.request.method=GET, 只顯示HTTP GET方法的l 邏輯運算符為 AND/ OR： ip.src =192.168.1.