Http Headers各属性简介及常见安全攻击

Http Headers常用属性介绍

Host（发送请求时，该报头域是必需的）

请求报头域主要用于指定被请求资源的Internet主机和端口号，它通常从HTTP URL中提取出来的，例如我们在浏览器中输入：https://www.csdn.net，浏览器发送的请求消息中，就会包含Host请求报头域，如下：

Host：www.csdn.net 此处使用缺省端口号443，若指定了端口号，则变成：Host：指定端口号

Referer

当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器该请求是从哪个页面链接过来的，服务器借此可以获得一些信息用于处理。比如从我主页上链接到一个朋友那里，他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站。

User-Agent

告诉HTTP服务器， 客户端使用的操作系统和浏览器的名称和版本。
我们上网登陆论坛的时候，往往会看到一些欢迎信息，其中列出了你的操作系统的名称和版本，这往往让很多人感到很神奇，实际上，服务器应用程序就是从User-Agent这个请求报头域中获取到这些信息。User-Agent请求报头域允许客户端将它的操作系统、浏览器和其它属性告诉服务器。
例如： User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; CIBA; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; InfoPath.2; .NET4.0E)

Content-type

表示后面的文档属于什么MIME类型。Servlet默认为text/plain，但通常需要显式地指定为text/html。由于经常要设置Content-Type，因此HttpServletResponse提供了一个专用的方法setContentType。

常见的媒体格式类型如下：

•     text/html ： HTML格式
•     text/plain ：纯文本格式      
•     text/xml ：  XML格式
•     image/gif ：gif图片格式    
•     image/jpeg ：jpg图片格式 
•     image/png：png图片格式

   以application开头的媒体格式类型：

•    application/xhtml+xml ：XHTML格式
•    application/xml     ： XML数据格式
•    application/atom+xml  ：Atom XML聚合格式    
•    application/json    ： JSON数据格式
•    application/pdf       ：pdf格式  
•    application/msword  ： Word文档格式
•    application/octet-stream ： 二进制流数据（如常见的文件下载）
•    application/x-www-form-urlencoded ： <form encType=””>中默认的encType，form表单数据被编码为key/value格式发送到服务器（表单默认的提交数据的格式）

   另外一种常见的媒体格式是上传文件之时使用的：

•     multipart/form-data ： 需要在表单中进行文件上传时，就需要使用该格式。

 

Http Headers常见安全攻击