说说对Http 301、302、303,304、400、405、415状态码的认识

客户端在接收到400状态码后,应该检查请求的内容并进行相应的修改。405MethodNotAllowed(方法不被允许)当客户端使用了一个服务器不允许的请求方法来访问资源时,服务器将返回405状态码。服务器通常会在响应中包含Allow头字段,列出服务器允许的方法,以指导客户端进行正确的请求。这种情况经常发生在客户端使用了错误...

这些年背过的面试题——个人项目篇

当重连成功时,会触发channelActive方法,在这里我们开启了一个定时任务去判断refreshTime和当前时间的时间差,超过5秒说明断线了,要进行重连,最后计算重连次数,尝试连接2次以上连不上就会修改header信息强制重连去连另一个服务器。二、秒杀项目技术选型秒杀用到的基础组件,主要有框架、KV存储、关系型数据库、MQ。

这些年背过的面试题——SpringCloud篇

采用JDK的动态代理方式生成代理对象,当我们调用这个接口,实际上是要去调用远程的HTTPAPI;Contract契约组件比如请求类型是GET还是POST,请求的URI是什么;Encoder编码组件\Decoder解码组件通过该组件我们可以将请求信息采用指定的编码方式进行编解码后传输;Logger日志记录负责Feign中记录日志的,可...

浏览器驱动的异步攻击:HTTP 请求走私(下)

1.使用浏览器发出的请求触发客户端异步的新方法;2.一种基于暂停的服务器端异步漏洞的有效且可靠的检测方法;3.更多用于客户端不同步攻击的利用小工具;4.使用CSD-chaining的真实PoC;5.一种需要MITM来延迟浏览器请求的方法;6.一种在HTPT/2可用时强制浏览器使用HTTP/1的方法;缓解措施你可以...

为什么要禁止除GET和POST之外的HTTP方法?

HTTP1.1新增了五种请求方法:OPTIONS、PUT、DELETE、TRACE、CONNECT图片来源于网络二、举例说明不安全的HTTP方法众所周知,GET、POST是最为常见方法,而且大部分主流网站只支持这两种方法,因为它们已能满足功能需求。其中,GET方法主要用来获取服务器上的资源,而POST方法是用来向服务器特定URL的资源提交数据。而其它方法...

计算机网络基础——http详解

客户端向服务器发送一个请求报文，请求报文包含请求的方法、URL、协议版本、请求头部和请求数据(www.e993.com)2024年11月28日。服务器以一个状态行作为响应，响应的内容包括协议的版本、成功或者错误代码、服务器信息、响应头部和响应数据。以下是HTTP请求/响应的步骤：1.客户端连接到Web服务器一个HTTP客户端，通常是浏览器，与Web服务器的HTTP...

你还在为 HTTP 的这些概念头疼吗?

使用no-transform指令规定无论是在请求还是响应中,缓存都不能改变实体主体的媒体类型。Cache-Control:no-transformConnectionHTTP协议使用TCP来管理连接方式,主要有两种连接方式,持久性连接和非持久性连接。持久性连接持久性连接指的是一次会话完成后,TCP连接并未关闭,第二次再次发送请求后,就不再需要建立...

72 个网络应用安全实操要点,全方位保护 Web 应用的安全

有一类与OAuth身份认证相关的跨站请求伪造漏洞是黑客让用户不经意间采用其账户进行登录。因此,如果有使用OAuth身份认证,务必确保对状态(state)参数的验证。13、正确使用HTTP协议,避免CSRF漏洞除了POST、PUT、PATCH、DELETE以外,不要使用其它HTTP方法进行数据更改。GET请求一般是不包含在反跨站请求伪造...

Java 最常见的 208 道面试题:第六模块答案

可以在HTTP请求中以参数的形式加入一个随机产生的token,并在服务器端建立一个拦截器来验证这个token,如果请求中没有token或者token内容不正确,则认为可能是CSRF攻击而拒绝该请求。这种方法要比检查Referer要安全一些,token可以在用户登陆后产生并放于session之中,然后在每次请求时把token从session中...

ISA教程之附录A 各章的问题和答案

1.下列的哪个条件下,John能通过ISAServer访问Internet?假定有默认的允许站点和内容规则,并且没有配置其他的规则或筛选器。a.配置一个协议规则允许任何请求访问所有IP通信。然后配置第二个协议规则拒绝用户John访问所有IP通信。不要修改传出Web请求的默认阵列属性。John能够通过安全网络地址转换客户端上的Web浏览器来...