Http详解及请求抓包工具使用

1、Http详解及请求/抓包工具的使用 数据中心 数据应用开发部 陈琦主讲人：吕伟丰、陈琦Http详解Https详解Http报文请求工具Postman使用介绍网络抓包工具Wireshark使用介绍Http概述 什么是Http？l 超文本传输协议( Hypertext Transfer Protocol，简称HTTP)是应用层协议。HTTP 是一种请求/响应式的协议，即一个客户端与服务器建立连接后，向服务器发送一个请求;服务器接到请求后，给予相应的响应信息。 什么是Http报文？l http报文是在http应用程序之间发送的数据块（也可称为数据包数据包）、这些数据块以一些文本的元信息（meta-in

2、formation）开头，描述了报文的内容及含义，后面跟着可选的数据部分，这些报文在客户端、服务器和代理之间流动Http请求报文组成概述请求：由请求行、请求头、请求体三大部分以及一空行组成n 请求行：请求方法+1空格+URL+1空格+Http协议版本+1回车+1换行符请求方法包括GET、HEAD、PUT、POST、TRACE、OPTIONS、DELETE以及扩展方法协议版本一般为Http/1.0,Http/1.1n 请求头：由若干个Key/Value结构的请求头参数组成，具体参数说明n 空白行：用于标识请求头的结束n 请求体：可选，由若干个Key/Value结构的请求体参数组成Http请求报文

3、组成请求方法 Http/1.0：Get，Post，Head Http/1.1：在1.0基础上新增OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法序号序号方法方法描述描述1Get请求指定的页面信息，并返回实体主体2Post向指定资源提交数据进行处理请求（例如提交表单或者上传文件）。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。3Head类似于get请求，只不过返回的响应中没有具体的内容，用于获取报文头4PUT从客户端向服务器传送的数据取代指定的文档的内容。5DELETE请求服务器删除指定的页面。6OPTIONS允许客户端查看服务器

4、的性能。一般用于查看该URL支持的请求方法。7TRACE回显服务器收到的请求，主要用于测试或诊断。8CONNECT HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。Http请求报文组成请求头 下面仅列举了一些常用的请求头，还有一些用的比较少也就不一一列举协议头协议头说明说明例子例子Accept可接受的响应内容类型（Content-Types）Accept: text/plainAccept-Charset可接受的字符集Accept-Charset: utf-8Accept-Language可接受的语言Accept-Language:zh-CN,zh;q=0.9Accept-En

5、coding可接受的响应内容的编码方式，比如gzip。Servlet能够向支持gzip的浏览器返回经gzip编码的HTML页面。许多情形下这可以减少5到10倍的下载时间Accept-Encoding: gzip,deflateContent-Type请求体的MIME类型 （用于POST和PUT请求中）Content-Type: application/x-www-form-urlencodedCookie用于维持服务端会话状态的，通常由服务端写入，在后续请求中，供服务端读取Cookie:JSESSIONID=97A6B3AC507685739FE8310771CD85BA; isLogin=t

6、rueHost表示服务器的域名以及服务器所监听的端口号。如果所请求的端口是对应的服务的标准端口（80），则端口号可以省略。Host: Referer包含一个URL，用户从该URL代表的页面出发访问当前请求的页面Referer:http:/ Mozilla/5.0 (Windows NT 6.1; WOW64)Http响应报文组成概述响应：由响应行、响应头、响应体三大部分以及一空行组成n 响应行：协议版本+1空格+状态码+1空格+状态描述+1回车符+1换行符状态代码为3位数字，200299的状态码表示成功，300399的状态码指资源重定向，400499的状态码指客户端请求出错，500599的状态

7、码指服务端出错n 响应头：由若干个Key/Value结构的请求头参数组成，具体参数说明n 空白行：用于标识请求头的结束n 响应正文：可选，由若干个Key/Value结构的请求体参数组成Http响应报文组成响应头 下面仅列举了一些常用的响应头，还有一些用的比较少也就不一一列举协议头协议头说明说明例子例子Server服务器所使用的Web服务器名称Server:nginx/1.9.7Set-Cookie向客户端设置Cookie。与Cookie请求头相互对应。Set-Cookie头是服务器向客户端设置Cookie，Cookie头是客户端向服务器传客户端已经保存的Cookie信息Set-Cookie:u

8、sername=xxxContent-Language响应资源所使用的语言Content-Language:zh-CN,zh;q=0.9Content-Encoding响应资源所使用的编码类型Content-Encoding: gzip,deflateContent-Type响应体的MIME类型Content-Type: application/x-www-form-urlencodedContent-Length响应消息体的长度，用8进制字节表示Content-Length:348Allow对于特定资源的有效动作Allow:GET,HEADHttp报文详解Https释义Http报文请求工具P

9、ostman使用介绍网络抓包工具Wireshark使用介绍Https概述 什么是Https？l HTTPS（全称：HyperText Transfer Protocol Secure），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即在HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL（Secure Socket Layer）。 Http的缺点l 通信使用明文（不加密），内容可能会被窃听l 不验证通信方的身份，因此有可能遭遇伪装l 无法证明报文的完整性，所以有可能已遭篡改HttpsHTTPS和HTTP的区别 HTTPS和HTTP的区别主要为以下四点l

10、 https协议需要到ca申请证书，一般免费证书很少，需要交费。l http是超文本传输协议，信息是明文传输，https 则是具有安全性的ssl加密传输协议l http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443l http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全 HTTP+ 加密 + 认证 + 完整性保护=HTTPSHttps为什么不一直使用 HTTPS 因为与纯文本通信相比，加密通信会消耗更多的CPU 及内存资源。如果每次通信都加密，会消耗相当多的资源，平摊到一台计算机

11、上时，能够处理的请求数量必定也会随之减少。因此，如果是非敏感信息则使用 HTTP 通信，只有在包含个人信息等敏感数据时，才利用 HTTPS 加密通信。 要进行 HTTPS 通信，证书是必不可少的。而使用的证书必须向认证机构（CA）购买。证书价格可能会根据不同的认证机构略有不同。Http报文详解Https释义Http报文请求工具Postman使用介绍网络抓包工具Wireshark使用介绍Http请求工具的使用PostMan 打开PostMan后，首先是先通过Create New Request来建一个请求报文Http请求工具的使用PostMan PostMan中Post请求的四大参数格式l fo

12、rm-data:就是http请求中的multipart/form-data ，它会将表单的数据处理为一条消息，以标签为单元，用分隔符分开。既可以上传键值对，也可以上传文件l x-www-form-urlencoded :就是application/x-www-from-urlencoded ，会将表单内的数据转换为键值对，比如,name=java&age = 23l raw :可以上传任意格式的文本，可以上传text、json、xml、html等l binary :相当于application/octet-stream ，从字面意思得知，只可以上传二进制数据，通常用来上传文件，由于没有

13、键值，所以，一次只能上传一个文件Http请求工具的使用PostMan 接口服务器有登入拦截的接口测试l 先请求登入接口l 再请求需要测试的接口Http请求工具的使用PostMan SpringMVC RequestBody请求参数在postman中的请求Http请求工具的使用PostMan PostMan的全局环境（Environment）Http请求工具的使用PostMan PostMan对接口做单元测试Http报文详解Https释义Http报文请求工具Postman使用介绍网络抓包工具Wireshark使用介绍Http抓包工具的使用wireshark 用wireshark抓包Http抓包工具的使用wireshark 过滤表达式的规则过滤表达式的规则l 协议过滤：比如TCP，只显示TCP协议l IP 过滤：比如 ip.src =02 显示源地址为02， ip.dst=02, 目标地址为02l 端口过滤： tcp.port =80, 端口为80的， tcp.srcport = 80, 只显示TCP协议的愿端口为80的l Http模式过滤： http.request.method=GET, 只显示HTTP GET方法的l 逻辑运算符为 AND/ OR： ip.src =192.168.1.