Web应用安全性: HTTP简介

另一个区别在于这些动词带有的副浸染：GET 是一个幂等动词，意思是无论你要发送几多个哀求，你都不会改变收集处事器的状态。 相反，POST 不是幂等的：对付你发送的每个哀求，你也许正在变动处事器的状态(譬喻，思量宣布新的付款 - 此刻您也许领略为什么站点要求你在执行时不革新页面 买卖营业)。

幂等性：指一次和多次哀求某一个资源应该具有同样的副浸染，也就是一次会见与多次会见，对这个资源带来的变革是沟通的。

为了声名这些要领之间的一个重要区别，我们必要看一看 web 处事器的日记，这些日记你也许已经很认识了:

192.168.99.1 - [192.168.99.1] - - [29/Jul/2018:00:39:47 +0000] "GET /?token=1234 HTTP/1.1" 200 525 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36" 404 0.002 [example-local] 172.17.0.8:9090 525 0.002 200 
192.168.99.1 - [192.168.99.1] - - [29/Jul/2018:00:40:47 +0000] "GET / HTTP/1.1" 200 525 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36" 393 0.004 [example-local] 172.17.0.8:9090 525 0.004 200 
192.168.99.1 - [192.168.99.1] - - [29/Jul/2018:00:41:34 +0000] "PUT /users HTTP/1.1" 201 23 "http://example.local/" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36" 4878 0.016 [example-local] 172.17.0.8:9090 23 0.016 201 

如你所见，web处事器记录哀求路径:这意味着，假如你在 URL 中包括敏感数据，那么它将被 web 处事器泄漏并生涯在你的日记中的某个位置—你的密钥将以明文的情势呈现，这是我们绝对必要停止的。假设进攻者可以或许会见你的一个往日记文件，该文件也许包括名誉卡信息、私有处事的会见令牌等等:这将是一场彻底的劫难。

Web 处事器不记 录HTTP标头或主体，由于要生涯的数据太大 - 这就是为什么通过哀求主体而不是URL发送信息凡是更安详。 从这里我们可以得出 POST(和相同的，非幂等要领)比 GET 更安详，纵然更多的是行使特定动词时数据的发送方法而不是特定动词自己比其他动词更安详：假如你 将敏感信息包括在 GET 哀求的主体中，然后你不会碰着比行使 POST 时更多的题目，纵然这种要领被以为是不通俗的。

我们信赖 HTTP 报头

在本文中，我们研究了HTTP，它的演变以及它的安详扩展怎样集成身份验证和加密，以使客户端和处事器通过安详通道举办通讯：这不是全部 HTTP 在安详性方面提供的。

正如我们将在下一篇文章中看到的，HTTP安详头文件提供了一种改造应用措施安详状态的要领，下一篇文章将致力于领略怎样操作它们。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!