Nginx Web服務(wù)器�����,直接貼代碼���,如果你的服務(wù)器也需要設(shè)置Nginx請(qǐng)求頭��,可以直接使用�����。
在長(zhǎng)期的網(wǎng)站建設(shè)和軟件開發(fā)過程種���,生產(chǎn)環(huán)境的服務(wù)器運(yùn)維服務(wù)中最常見的設(shè)置����。
在服務(wù)器塊下的nginx.conf中添加以下參數(shù)
server {
listen 443;
server_name ds.v.com; # 駕駛
location / {
#Nginx配置
#Strict-Transport-Security響應(yīng)頭缺失
add_header Strict-Transport-Security 'max-age=15552000';
#HTTP X-Permitted-Cross-Domain-Policies 響應(yīng)頭缺失
add_header X-Permitted-Cross-Domain-Policies 'none';
#點(diǎn)擊劫持漏洞(X-Frame-Options)
add_header X-Frame-Options SAMEORIGIN;
#Referrer-Policy響應(yīng)頭缺失
add_header Referrer-Policy "no-referrer";
#X-Content-Type-Options響應(yīng)頭缺失
add_header X-Content-Type-Options nosniff;
#X-Download-Options響應(yīng)頭缺失
add_header X-Download-Options 'noopen';
# Content-Security-Policy響應(yīng)頭缺失
add_header Content-Security-Policy "script-src * 'unsafe-inline' 'unsafe-eval'";
#X-XSS-Protection響應(yīng)頭缺失
add_header X-XSS-Protection '1;mode=block';
#會(huì)話cookie中缺少HttpOnly屬性
add_header Set-Cookie "Path=/; HttpOnly; Secure"
...
}
}
本次操作逐一排查�,凡是新增的服務(wù)器都相應(yīng)做了設(shè)置�����,以前老客戶的服務(wù)器之前都已經(jīng)操作過�����,不在此次的范圍內(nèi)�����。
已于昨日處理完畢��,此次處理沒有影響服務(wù)器使用����。
請(qǐng)求
請(qǐng)求,由客戶端向服務(wù)端發(fā)出����,可以分為3部分內(nèi)容:請(qǐng)求方法(Request Method) 、請(qǐng)求的網(wǎng)址( Request URL )�、請(qǐng)求報(bào)文(Request message)
請(qǐng)求方法
常見的請(qǐng)求方法有兩種:GET和POST。
在瀏覽器中直接輸入 URL 并回車����,這便發(fā)起了一個(gè) GET 請(qǐng)求���,請(qǐng)求的參數(shù)會(huì)直接包含到 URL里。例如���,在百度中搜索 Python �����,這就是一個(gè) GET 請(qǐng)求���,鏈接為 https://www. baidu.corn/s?wd=Pthon,其中 URL 中包含了請(qǐng)求的參數(shù)信息����,這里參數(shù) wd 表示要搜尋的關(guān)鍵字 。
POST 請(qǐng)求大多在表單提交時(shí)發(fā)起��。比如����,對(duì)于一個(gè)登錄表單,輸入用戶名和密碼后���,點(diǎn)擊“登錄”按鈕��,這通常會(huì)發(fā)起一個(gè) POST請(qǐng)求���,其數(shù)據(jù)通常以表單的形式傳輸,而不會(huì)體現(xiàn)在 URL中����。
兩者區(qū)別
GET 請(qǐng)求中的參數(shù)包含在 URL 里面,數(shù)據(jù)可以在 URL 中看到�,而 POST 請(qǐng)求的 URL 會(huì)包含這些數(shù)據(jù),數(shù)據(jù)都是通過表單形式傳輸?shù)?���,?huì)包含在請(qǐng)求體中。
GET 請(qǐng)求提交的數(shù)據(jù)最多只有 1024 字節(jié)����,而 POST 方式?jīng)]有限制。
一般來說��,登錄時(shí)��,需要提交用戶名和密碼,其中包含了信息���,使用 GET 方式請(qǐng)求的話���,密碼就會(huì)暴露在 URL 里面,造成密碼泄露�����,所以這里-以 POST 方式發(fā)送����。上傳文件時(shí),由于文件內(nèi)容比較大��,也會(huì)選用 POST 方式��。
其他請(qǐng)求方式
請(qǐng)求報(bào)文
由請(qǐng)求行�����、請(qǐng)求頭�����、請(qǐng)求體組成
請(qǐng)求行
由請(qǐng)求方式和HTTP協(xié)議和版本組成
如:GET / HTTP/1.1
請(qǐng)求頭
請(qǐng)求頭,用來說明服務(wù)器要使用的附加信息�,比較重要的信息有 Cookie 、Referer��、User-Agent等�����。下面簡(jiǎn)要說明一些常用的頭信息�。
Accept
請(qǐng)求報(bào)頭域�����,用于指定客戶端可接受哪些類型的信息��。
Accept-Language
指定客戶端可接受的語(yǔ)言類型�����。
Accept-Encoding
指定客戶端可接受的內(nèi)容編碼��。
Host
用于指定請(qǐng)求資源的主機(jī) IP 和端口號(hào)����,其內(nèi)容為請(qǐng)求 URL 的原始服務(wù)器或網(wǎng)關(guān)的位置。從HTTP 1. 版本開始,請(qǐng)求必須包含此內(nèi)容����。
Cookie
也常用復(fù)數(shù)形式 Cookies ,這是網(wǎng)站為了辨別用戶進(jìn)行會(huì)話跟蹤而存儲(chǔ)在用戶本地的數(shù)據(jù)��。它的主要功能是維持當(dāng)前訪問會(huì)話�。例如,我們輸入用戶名和密碼成功登錄某個(gè)網(wǎng)站后����,服務(wù)器會(huì)用會(huì)話保存登錄狀態(tài)信息,后面我們每次刷新或請(qǐng)求該站點(diǎn)的其他頁(yè)面時(shí)��,會(huì)發(fā)現(xiàn)都是登錄狀態(tài)�����,這就是Cookies 的功勞���。Cookies 里有信息標(biāo)識(shí)了我們所對(duì)應(yīng)的服務(wù)器的會(huì)話�,每次瀏覽器在請(qǐng)求該站點(diǎn)的頁(yè)面時(shí)�,都會(huì)在請(qǐng)求頭中加上 Cookies 并將其發(fā)送給服務(wù)器,服務(wù)器通過 Cookies 識(shí)別出是我們自己�����,并且查出當(dāng)前狀態(tài)是登錄狀態(tài),所以返回結(jié)果就是登錄之后才能看到的網(wǎng)頁(yè)內(nèi)容��。
Referer
此內(nèi)容用來標(biāo)識(shí)這個(gè)請(qǐng)求是從哪個(gè)頁(yè)面發(fā)過來的����,服務(wù)器可以拿到這 信息并做相應(yīng)的處理�,如做來源統(tǒng)計(jì)、防盜鏈處理等��。
User-Agent
簡(jiǎn)稱 UA �����,它是一個(gè)特殊的字符串頭��,可以使服務(wù)器識(shí)別客戶使用的操作系統(tǒng)及版本 瀏覽器及版本等信息 在做爬蟲時(shí)加上此信息���,可以偽裝為瀏覽器���;如果不加,很可能會(huì)被識(shí)別出為爬蟲����。
Content-Type
也叫互聯(lián)網(wǎng)媒體類型( Internet Media Type )或者 MIME 類型�����,在 HTTP協(xié)議消息頭中����,它用來表示具體請(qǐng)求中的媒體類型信息�。例如, text/html 代表 HTML 格式�����,image/gif 代表 GIF 圖片���, application/json 代表JSON 類型����,
在爬蟲中�,如果要構(gòu)造 POST 請(qǐng)求,需要使用正確的 Content-Type��,并了解各種請(qǐng)求庫(kù)的各個(gè)參數(shù)設(shè)置時(shí)使用的是哪種 Content-Type�,不然可能會(huì)導(dǎo)致 POST 提交后無(wú)法正常響應(yīng)�����。
請(qǐng)求體
內(nèi)容是 POST 請(qǐng)求中的表單數(shù)據(jù)�,而對(duì)于 GET 請(qǐng)求���,請(qǐng)求體則為空�。
響應(yīng)
響應(yīng)�,由服務(wù)端返回給客戶端,響應(yīng)報(bào)文可以分為三部分:響應(yīng)行( Response line )���、響應(yīng)頭( Response Headers )和響應(yīng)體( Response Body)。
響應(yīng)行
由HTTP版本響應(yīng)���、狀態(tài)碼�����、狀態(tài)描述組成�����。
如��;HTTP/1.1 200 OK
響應(yīng)狀態(tài)碼
表示服務(wù)器的響應(yīng)狀態(tài)���。
常見的狀態(tài)碼有:
200
請(qǐng)求成功
307
重定向
400
錯(cuò)誤的請(qǐng)求
404
請(qǐng)求資源在服務(wù)器中不存在
500
服務(wù)器內(nèi)部源代碼出現(xiàn)錯(cuò)誤
狀態(tài)碼和錯(cuò)誤原因如下圖:
響應(yīng)頭
用來說明響應(yīng)的數(shù)據(jù)
常用的響應(yīng)頭如下:
Accept-Patch
指定服務(wù)器所支持的文檔補(bǔ)丁格式
Accept-Ranges
服務(wù)器所支持的內(nèi)容范圍
Content-Disposition
對(duì)已知MIME類型資源的描述����,瀏覽器可以根據(jù)這個(gè)響應(yīng)頭決定是對(duì)返回資源的動(dòng)作�����,如:將其下載或是打開���。
Content-Encoding
響應(yīng)資源所使用的編碼類型�。
Content-Language
響就內(nèi)容所使用的語(yǔ)言
Content-Length
響應(yīng)消息體的長(zhǎng)度�,用8進(jìn)制字節(jié)表示
Content-Type
當(dāng)前內(nèi)容的MIME類型
Date
此條消息被發(fā)送時(shí)的日期和時(shí)間(以RFC 7231中定義的"HTTP日期"格式來表示)
Expires
指定一個(gè)日期/時(shí)間,超過該時(shí)間則認(rèn)為此回應(yīng)已經(jīng)過期
Server
服務(wù)器的名稱
響應(yīng)體
就是網(wǎng)頁(yè)的代碼
