当前位置：首页 > news >正文

48.渗透-HTTP响应

news 2025/11/1 15:52:58

免责声明：内容仅供学习参考，请合法利用知识，禁止进行违法犯罪活动！

内容参考于：易锦网校

上一个内容：47.渗透-HTTP请求

如下图响应头的结构，三部分，状态行、响应头部、响应正文（服务器返回的数据）

如下图一个响应数据

状态行：HTTP/1.1是协议版本，200是状态码，OK是状态码描述

常见状态码：

状态码状态码名称详细描述
--- 一、1xx 信息性状态码 临时响应，仅告知请求处理进度，客户端需等待最终响应，不代表请求成功或失败
100 Continue 服务器已接收请求头，允许客户端继续发送请求体（常用于 POST 大文件前的 “预检”）
101 Switching Protocols 服务器同意客户端的协议升级请求（如从 HTTP/1.1 升级为 WebSocket）
102 Processing 服务器已接收并正在处理请求，但尚未返回最终结果（多用于耗时操作，如文件转换）
--- 二、2xx 成功状态码 请求完全符合服务器预期，已被正常处理并返回结果
200 OK 请求成功，服务器返回对应资源（最常用，如 GET 获取页面、JSON 数据）
201 Created 请求成功且服务器新建了资源（如 POST 创建用户 / 文章，响应头含Location指向新资源）
202 Accepted 服务器已接收请求，但尚未完成处理（多用于异步任务，如批量数据后台处理）
204 No Content 请求成功，但服务器无数据返回（如 DELETE 删除资源，仅需告知 “删除成功”）
206 Partial Content 服务器仅返回资源的部分内容（对应客户端Range请求，用于断点续传）
--- 三、3xx 重定向状态码 请求需客户端进一步跳转（或使用缓存）才能完成，需按提示访问新地址
300 Multiple Choices 请求资源有多个可选地址（如同一资源的不同格式版本），需客户端手动选择
301 Moved Permanently 资源已永久迁移到新地址（如旧域名跳新域名，浏览器会缓存该跳转关系）
302 Found 资源已临时迁移到新地址（如临时维护跳转，浏览器不缓存，每次需先访问原地址）
303 See Other 请求成功后，需客户端用GET方法跳转到新地址（如表单提交后跳结果页，避免重复提交）
304 Not Modified 资源未修改，客户端可直接使用本地缓存（对应If-Modified-Since等条件请求）
307 Temporary Redirect 与 302 功能一致，但强制客户端保持原请求方法（如原 POST 跳转后仍用 POST）
308 Permanent Redirect 与 301 功能一致，但强制客户端保持原请求方法（永久重定向且不改变请求方式）
--- 四、4xx 客户端错误状态码 错误源于客户端（请求格式 / 权限 / 资源不存在等），需修正后重新请求
400 Bad Request 请求格式错误（如 JSON 语法错、表单字段缺失，服务器无法解析）
401 Unauthorized 请求需身份认证（如未登录访问受限页面，或Authorization令牌无效）
402 Payment Required 预留状态码，用于 “需付费才能访问” 的场景（实际极少使用）
403 Forbidden 客户端已认证，但无权限访问资源（如普通用户访问管理员后台，服务器拒绝）
404 Not Found 请求的资源不存在（如 URL 拼写错、资源已删除，最常见的错误状态码）
405 Method Not Allowed 请求使用的 HTTP 方法不被允许（如用 POST 访问仅支持 GET 的接口，响应头Allow列允许方法）
406 Not Acceptable 客户端请求的资源格式（如Accept: application/json）与服务器支持格式不匹配（如服务器仅返回 XML）
408 Request Timeout 客户端发送请求超时（服务器等待请求数据过久，如网络卡顿）
409 Conflict 请求与服务器资源当前状态冲突（如创建用户时用户名已存在，或数据被他人修改）
410 Gone 资源已永久删除（与 404 区别：明确告知 “资源曾存在但已删除，后续无需再请求”）
413 Payload Too Large 请求体过大（如上传文件超过服务器限制，响应提示最大允许大小）
414 URI Too Long 请求的 URL 过长（如 GET 请求参数过多，服务器无法处理）
415 Unsupported Media Type 请求体的Content-Type不被服务器支持（如上传 PNG 但服务器仅接受 PDF）
416 Range Not Satisfiable 客户端请求的资源范围无效（如请求 “0-1000 字节”，但资源实际仅 500 字节）
429 Too Many Requests 客户端请求频率过高（触发服务器限流，响应头Retry-After提示重试时间）
431 Request Header Fields Too Large 请求头总大小超过服务器限制（如 Cookie 过多、自定义头字段过大）
451 Unavailable For Legal Reasons 资源因法律原因无法访问（如涉及侵权，被法院要求下架）
--- 五、5xx 服务器错误状态码 客户端请求无错，但服务器处理时发生故障（需服务器端排查修复）
500 Internal Server Error 服务器通用错误（如代码 BUG、数据库连接失败，无法明确具体错误原因，最常见）
501 Not Implemented 服务器未实现请求所需功能（如客户端用 HTTP/3 协议，服务器仅支持 HTTP/1.1）
502 Bad Gateway 服务器作为 “网关 / 代理” 时，接收的上游服务器响应无效（如上游服务器宕机）
503 Service Unavailable 服务器暂时无法处理请求（如服务器维护、负载过高，响应头Retry-After提示恢复时间）
504 Gateway Timeout 服务器作为 “网关 / 代理” 时，等待上游服务器响应超时（如上游处理过慢）
505 HTTP Version Not Supported 服务器不支持客户端使用的 HTTP 版本（如客户端用 HTTP/2，服务器仅支持 HTTP/1.0）
507 Insufficient Storage 服务器存储空间不足，无法完成请求（如上传文件时服务器磁盘满）
511 Network Authentication Required 客户端需先通过网络认证（如公共 WiFi 的登录验证，才能访问目标资源）

响应头部：下方是常见的响应，其它的可以问ai，可以把响应头复制给ai，让ai跟你说是什么意思

Date: //服务端发送资源时的服务器时间

Expires: //缓存过期时间

Cache-Control: no-cache // 缓存方式

Etag // 文件内容hash

Last-Modified //最近一次文件修改时间

Content-Type: text/html; charset=utf-8 //编码格式

Content-Encoding: gzip //采用gzip对资源进行解码

Connection: keep-alive //tcp是长连接

Set-Cookie //设置Http Cookie

再往下就是响应正文了

bd__cbs__agsm61({"errInfo":{ "no": "0" }, "data": { "rememberedUserName" : "", "codeString" : "", "token" : "xxxxxx", "cookie" : "1", "usernametype":"", "spLogin" : "rate", "disable":"", "loginrecord":{ 'email':[ ], 'phone':[ ] } }, "traceid": ""})

状态码	状态码名称	详细描述
---	一、1xx 信息性状态码	临时响应，仅告知请求处理进度，客户端需等待最终响应，不代表请求成功或失败
100	Continue	服务器已接收请求头，允许客户端继续发送请求体（常用于 POST 大文件前的 “预检”）
101	Switching Protocols	服务器同意客户端的协议升级请求（如从 HTTP/1.1 升级为 WebSocket）
102	Processing	服务器已接收并正在处理请求，但尚未返回最终结果（多用于耗时操作，如文件转换）
---	二、2xx 成功状态码	请求完全符合服务器预期，已被正常处理并返回结果
200	OK	请求成功，服务器返回对应资源（最常用，如 GET 获取页面、JSON 数据）
201	Created	请求成功且服务器新建了资源（如 POST 创建用户 / 文章，响应头含`Location`指向新资源）
202	Accepted	服务器已接收请求，但尚未完成处理（多用于异步任务，如批量数据后台处理）
204	No Content	请求成功，但服务器无数据返回（如 DELETE 删除资源，仅需告知 “删除成功”）
206	Partial Content	服务器仅返回资源的部分内容（对应客户端`Range`请求，用于断点续传）
---	三、3xx 重定向状态码	请求需客户端进一步跳转（或使用缓存）才能完成，需按提示访问新地址
300	Multiple Choices	请求资源有多个可选地址（如同一资源的不同格式版本），需客户端手动选择
301	Moved Permanently	资源已永久迁移到新地址（如旧域名跳新域名，浏览器会缓存该跳转关系）
302	Found	资源已临时迁移到新地址（如临时维护跳转，浏览器不缓存，每次需先访问原地址）
303	See Other	请求成功后，需客户端用`GET`方法跳转到新地址（如表单提交后跳结果页，避免重复提交）
304	Not Modified	资源未修改，客户端可直接使用本地缓存（对应`If-Modified-Since`等条件请求）
307	Temporary Redirect	与 302 功能一致，但强制客户端保持原请求方法（如原 POST 跳转后仍用 POST）
308	Permanent Redirect	与 301 功能一致，但强制客户端保持原请求方法（永久重定向且不改变请求方式）
---	四、4xx 客户端错误状态码	错误源于客户端（请求格式 / 权限 / 资源不存在等），需修正后重新请求
400	Bad Request	请求格式错误（如 JSON 语法错、表单字段缺失，服务器无法解析）
401	Unauthorized	请求需身份认证（如未登录访问受限页面，或`Authorization`令牌无效）
402	Payment Required	预留状态码，用于 “需付费才能访问” 的场景（实际极少使用）
403	Forbidden	客户端已认证，但无权限访问资源（如普通用户访问管理员后台，服务器拒绝）
404	Not Found	请求的资源不存在（如 URL 拼写错、资源已删除，最常见的错误状态码）
405	Method Not Allowed	请求使用的 HTTP 方法不被允许（如用 POST 访问仅支持 GET 的接口，响应头`Allow`列允许方法）
406	Not Acceptable	客户端请求的资源格式（如`Accept: application/json`）与服务器支持格式不匹配（如服务器仅返回 XML）
408	Request Timeout	客户端发送请求超时（服务器等待请求数据过久，如网络卡顿）
409	Conflict	请求与服务器资源当前状态冲突（如创建用户时用户名已存在，或数据被他人修改）
410	Gone	资源已永久删除（与 404 区别：明确告知 “资源曾存在但已删除，后续无需再请求”）
413	Payload Too Large	请求体过大（如上传文件超过服务器限制，响应提示最大允许大小）
414	URI Too Long	请求的 URL 过长（如 GET 请求参数过多，服务器无法处理）
415	Unsupported Media Type	请求体的`Content-Type`不被服务器支持（如上传 PNG 但服务器仅接受 PDF）
416	Range Not Satisfiable	客户端请求的资源范围无效（如请求 “0-1000 字节”，但资源实际仅 500 字节）
429	Too Many Requests	客户端请求频率过高（触发服务器限流，响应头`Retry-After`提示重试时间）
431	Request Header Fields Too Large	请求头总大小超过服务器限制（如 Cookie 过多、自定义头字段过大）
451	Unavailable For Legal Reasons	资源因法律原因无法访问（如涉及侵权，被法院要求下架）
---	五、5xx 服务器错误状态码	客户端请求无错，但服务器处理时发生故障（需服务器端排查修复）
500	Internal Server Error	服务器通用错误（如代码 BUG、数据库连接失败，无法明确具体错误原因，最常见）
501	Not Implemented	服务器未实现请求所需功能（如客户端用 HTTP/3 协议，服务器仅支持 HTTP/1.1）
502	Bad Gateway	服务器作为 “网关 / 代理” 时，接收的上游服务器响应无效（如上游服务器宕机）
503	Service Unavailable	服务器暂时无法处理请求（如服务器维护、负载过高，响应头`Retry-After`提示恢复时间）
504	Gateway Timeout	服务器作为 “网关 / 代理” 时，等待上游服务器响应超时（如上游处理过慢）
505	HTTP Version Not Supported	服务器不支持客户端使用的 HTTP 版本（如客户端用 HTTP/2，服务器仅支持 HTTP/1.0）
507	Insufficient Storage	服务器存储空间不足，无法完成请求（如上传文件时服务器磁盘满）
511	Network Authentication Required	客户端需先通过网络认证（如公共 WiFi 的登录验证，才能访问目标资源）