http协议基础详情大全

关于cookie:

cookie在客户端和服务器端之间起到一个跟踪的作用，跟踪反馈客户端的会话状态。

使用cookie后，不用每次访问服务器资源的时候都提交身份认证。

session只存在于服务端，客户拿到的只是session id,(定时失效，不然存在安全隐患)

重要的header:（与安全有重大关联的部分）

set-cookie:服务器发给客户端的session id(有被窃取的风险)，

content-length:相应body部分的字节长度（）

location:重定向用户到另一个页面，可识别身份认证后允许访问的页面；

cookie:客户端发回给服务器证明用户状态的信息（头：值 成对出现）

referrer/host:发起新请求之前用户位于哪个页面，服务器基于此头的安全限制很容易被绕过；

状态码

http响应状态码大全

http状态返回代码 1xx（临时响应）
表示临时响应并需要请求者继续执行操作的状态代码。

http状态返回代码代码说明
100（继续） 请求者应当继续提出请求。 服务器返回此代码表示已收到请求的第一部分，正在等待其余部分。
101（切换协议） 请求者已要求服务器切换协议，服务器已确认并准备切换。

http状态返回代码2xx （成功）
表示成功处理了请求的状态代码。

http状态返回代码代码说明
200（成功）服务器已成功处理了请求。 通常，这表示服务器提供了请求的网页。
201（已创建）请求成功并且服务器创建了新的资源。
202（已接受）服务器已接受请求，但尚未处理。
203（非授权信息）服务器已成功处理了请求，但返回的信息可能来自另一来源。
204（无内容）服务器成功处理了请求，但没有返回任何内容。
205（重置内容） 服务器成功处理了请求，但没有返回任何内容。
206（部分内容）服务器成功处理了部分 GET 请求。

http状态返回代码3xx （重定向）
表示要完成请求，需要进一步操作。 通常，这些状态代码用来重定向。

http状态返回代码代码说明
300（多种选择）针对请求，服务器可执行多种操作。 服务器可根据请求者 (user agent) 选择一项操作，或提供操作列表供请求者选择。
301（永久移动）请求的网页已永久移动到新位置。 服务器返回此响应（对 GET 或 HEAD 请求的响应）时，会自动将请求者转到新位置。
302（临时移动）服务器目前从不同位置的网页响应请求，但请求者应继续使用原有位置来进行以后的请求。
303（查看其他位置） 请求者应当对不同的位置使用单独的 GET 请求来检索响应时，服务器返回此代码。

304（未修改） 自从上次请求后，请求的网页未修改过。 服务器返回此响应时，不会返回网页内容。
305（使用代理） 请求者只能使用代理访问请求的网页。 如果服务器返回此响应，还表示请求者应使用代理。
307（临时重定向）服务器目前从不同位置的网页响应请求，但请求者应继续使用原有位置来进行以后的请求。

http状态返回代码4xx（请求错误）
这些状态代码表示请求可能出错，妨碍了服务器的处理。

http状态返回代码代码说明（不接受客户端的请求哈哈）
400（错误请求） 服务器不理解请求的语法。
401（未授权） 请求要求身份验证。 对于需要登录的网页，服务器可能返回此响应。

402 Payment Required（需要支付）
403（禁止） 服务器拒绝请求。
404（未找到） 服务器找不到请求的网页。
405（方法禁用） 禁用请求中指定的方法。
406（不接受） 无法使用请求的内容特性响应请求的网页。
407（需要代理授权） 此状态代码与 401（未授权）类似，但指定请求者应当授权使用代理。
408（请求超时）服务器等候请求时发生超时。
409（冲突）服务器在完成请求时发生冲突。 服务器必须在响应中包含有关冲突的信息。
410（已删除）如果请求的资源已永久删除，服务器就会返回此响应。
411（需要有效长度） 服务器不接受不含有效内容长度标头字段的请求。
412（未满足前提条件） 服务器未满足请求者在请求中设置的其中一个前提条件。
413（请求实体过大） 服务器无法处理请求，因为请求实体过大，超出服务器的处理能力。
414（请求的 URI 过长） 请求的 URI（通常为网址）过长，服务器无法处理。
415（不支持的媒体类型） 请求的格式不受请求页面的支持。
416（请求范围不符合要求） 如果页面无法提供请求的范围，则服务器会返回此状态代码。
417（未满足期望值） 服务器未满足"期望"请求标头字段的要求。

http状态返回代码5xx（服务器错误）
这些状态代码表示服务器在尝试处理请求时发生内部错误。 这些错误可能是服务器本身的错误，而不是请求出错。

http状态返回代码代码说明
500（服务器内部错误）服务器遇到错误，无法完成请求。
501（尚未实施） 服务器不具备完成请求的功能。 例如，服务器无法识别请求方法时可能会返回此代码。
502（错误网关） 服务器作为网关或代理，从上游服务器收到无效响应。
503（服务不可用） 服务器目前无法使用（由于超载或停机维护）。 通常，这只是暂时状态。
504（网关超时）服务器作为网关或代理，但是没有及时从上游服务器收到请求。
505（HTTP 版本不受支持） 服务器不支持请求中所用的 HTTP 协议版本。

一些常见的http状态返回代码为：

200 - 服务器成功返回网页
404 - 请求的网页不存在
503 - 服务不可用

该笔记为安全牛课堂学员笔记，想看此课程或者信息安全类干货可以移步到安全牛课堂

Security+认证为什么是互联网+时代最火爆的认证？

介绍一下Security+

Security+ 认证是一种中立第三方认证，其发证机构为美国计算机行业协会CompTIA ；是和CISSP、ITIL 等共同包含在内的国际 IT 业 10 大热门认证之一，和CISSP偏重信息安全管理相比，Security+ 认证更偏重信息安全技术和操作。

通过该认证证明了您具备网络安全，合规性和操作安全，威胁和漏洞，应用程序、数据和主机安全，访问控制和身份管理以及加密技术等方面的能力。因其考试难度不易，含金量较高，目前已被全球企业和安全专业人士所普遍采纳。

Security+认证如此火爆的原因？

原因一：在所有信息安全认证当中，偏重信息安全技术的认证是空白的，Security+认证正好可以弥补信息安全技术领域的空白 。

目前行业内受认可的信息安全认证主要有CISP和CISSP，但是无论CISP还是CISSP都是偏重信息安全管理的，技术知识讲的宽泛且浅显，考试都是一带而过。而且CISSP要求持证人员的信息安全工作经验都要5年以上，CISP也要求大专学历4年以上工作经验，这些要求无疑把有能力且上进的年轻人的持证之路堵住。在现实社会中，无论是找工作还是升职加薪，或是投标时候报人员，认证都是必不可少的，这给年轻人带来了很多不公平。而Security+的出现可以扫清这些年轻人职业发展中的障碍，由于Security+偏重信息安全技术，所以对工作经验没有特别的要求。只要你有IT相关背景，追求进步就可以学习和考试。

原因二：IT运维人员工作与翻身的利器。

在银行、证券、保险、信息通讯等行业，IT运维人员非常多，IT运维涉及的工作面也非常广。是一个集网络、系统、安全、应用架构、存储为一体的综合性技术岗。虽然没有程序猿们“生当做光棍，死亦写代码”的悲壮，但也有着“锄禾日当午，不如运维苦“的感慨。天天对着电脑和机器，时间长了难免有对于职业发展的迷茫和困惑。Security+国际认证的出现可以让有追求的IT运维人员学习网络安全知识，掌握网络安全实践。职业发展朝着网络安全的方向发展，解决国内信息安全人才的匮乏问题。另外，即使不转型，要做好运维工作，学习安全知识取得安全认证也是必不可少的。

原因三：接地气、国际范儿、考试方便、费用适中！

CompTIA作为全球ICT领域最具影响力的全球领先机构,在信息安全人才认证方面是专业、公平、公正的。Security+认证偏重操作且和一线工程师的日常工作息息相关。适合银行、证券、保险、互联网公司等IT相关人员学习。作为国际认证在全球147个国家受到广泛的认可。

在目前的信息安全大潮之下，人才是信息安全发展的关键。而目前国内的信息安全人才是非常匮乏的，相信Security+认证一定会成为最火爆的信息安全认证。