(1人评价)
HTTP协议原理与实践(Web白帽子黑客系列)

Web安全工程师

价格 99拼币
承诺服务
该课程属于 100天晋升Web安全工程师 请加入后再学习

响应报文

报文头

set-cookies :记录客户端信息,只有一开头回复200的包里面有,httponly不是所有服务器都设置,设置httponly字段,用于解决xss跨站请求脚本攻击,js脚本不能获取cookie

 

sever:表示web服务器信息,有时候服务器信息全部都暴露了,不希望有详细版本号。如Apache 。。。版本

X-Powered-By :告诉客户端用什么版本,版本号。不希望有详细版本号。PHP。。。版本

 

[展开全文]

响应字段

  • Sever   

<Apache ---服务器通过什么软件服务>

  • X-powered-by   

<PHP----OS---->

 

 

[展开全文]

http Only这个字段并不是每个web服务器都会去设置这个字段的值

所以在一些set-cookie的内容中也看不到http-only的值或字段

 

规范化的做法是设置http-only,避免使用JScript获取set-cookie的数值

 

 

[展开全文]

server 字段可以提供服务器软件信息 可以利用找漏洞 根据版本号找漏洞

x-ponered-by  服务器本地使用的系统和编程语言

[展开全文]