如何查看 HTTPS 标头 - WKB202467
文章编号: 202467点击此处访问英文版本文章
目的
查看 HTTP 请求标头和响应标头,对 Waters 软件产品中的 HTTPS 连接问题进行故障排除。
环境
- Windows 10
- Windows Server 2019/2016/2012
- Microsoft Edge、Mozilla Firefox、Google Chrome、Internet Explorer(还有 Microsoft Edge 中的 IE 模式)
步骤
- 通过 Web 浏览器中的“开发者工具”(在 MS Edge、Edge 中的 IE 模式、Chrome、Firefox 中可用):
- 单击“菜单”按钮 >“开发者工具”。菜单项的确切名称因浏览器和浏览器版本而不同;但是“开发者工具”似乎在所有主要的网络浏览器中都普遍使用。
- 单击 Network(网络)选项卡。
- 开始记录网络活动。
- 重现问题,或浏览网站,视情况而定。HTTP 请求将被记录并显示在“开发者工具”选项卡或窗口中。
- 视情况停止捕获。
- 单击列表中的请求之一。现在应会出现该请求的请求标头和响应标头。在某些浏览器中,HTTP 标头位于用户界面的某个单独选项卡中。
- 查看 HTTP 标头,获取问题的线索。
- 通过 cURL:
- 为 cURL 下载适当的二进制包 https://www.curl.se/。
- 打开命令提示符窗口。
- 浏览到 cURL 的安装路径。
- 使用参数运行 curl.exe。
- 示例:curl.exe --include https://server
- “--include”表示 cURL 应该在输出中包含 HTTP 标头。
- 如果 Web 服务器具有自签名证书,则“--insecure”很有用。这种类型的证书通常用于测试服务器,并且被网络客户端彻底拒绝,因为它本质上是不安全的。此选项是绕过限制最便捷的方法。连接仍将通过 HTTPS,但 cURL 将忽略证书错误。另一种选择是向 Web 服务器提供由受信任 CA 颁发的证书,并将 CA 配置为信任该证书。
- “--http1.1”和“--http2”可指定要使用的 HTTP 版本,以防出现暂时性传输错误、服务器不兼容的问题,或者用于检查协议版本之间服务器输出是否存在差异。
- 将命令提示符的输出复制到文件中作为证据,或用于进一步离线分析。
附加信息
Web 客户端将请求标头作为每个请求的一部分发送到 Web 服务器。响应标头由 Web 服务器发送,以响应来自 Web 客户端的请求。HTTP 标头是 Web 客户端和服务器之间执行请求的通讯方式。
有关特定 HTTP 标头的文章:
- X-UA-Compatible
- 指定用于站点的推荐用户代理和版本。主要用于 Microsoft 和 Google 浏览器。对于旧版 SDMS WebVision 站点,应设置为“IE=5”,对于 LMS SampleShare 站点,应设置为“IE=Edge”。
- 如何向 NuGenesis Web 服务器添加 X-UA-Compatible HTTP 标头信息
- Strict-Transport-Security
- 当 Web 浏览器通过安全通道从站点收到此请求标头时,应根据 max-age 属性中的时间限制缓存此信息,并将该站点的所有未来 HTTP 请求定向到 HTTPS。如果通过不安全的 HTTP 接收,Web 浏览器应忽略此请求标头。
- 可以将 HTTP 严格安全传输 (HSTS) 用于 NuGenesis Web 服务器吗?
- 如何在 Windows 的 IIS 管理器中将 HTTP 严格安全传输 (HSTS) 标头添加到缺省网站
- X-Powered-By
- 指定协助响应的支持技术。对于 Microsoft IIS,此请求头通常是“ASP.NET”。如果响应中涉及应用程序请求模块,则请求标头中也可能包含“ARR/3.0”(对于 NuGenesis 8 和 9.0-9.2 的 SDMS WebVision 就是这种情况)。它通常包含对攻击程序有用的服务器相关信息,因此建议从 IIS 中的所有站点中删除此请求头。
- 如何在 Microsoft IIS 中禁用 X-Powered-By HTTP 标头
- 如何在 NuGenesis LMS 中禁用服务器和 X-Powered-By HTTP 标头
- Accept
- 当用户尝试下载文件或报告时,NuGenesis SDMS Web 服务器会检查 HTTP 请求中的接受标头,查找“application/nugenesis-sdms”。如果接受标头中不包含该字符串(区分大小写),服务器会提示用户下载传输应用程序,如文章 WKB967 中所述。
id202467,