这篇博文整理了大量的HTTP网络文章，整理出HTTP的全部漏洞，介绍了java的解决方案。

单纯的HTTP协议本身没有安全问题，因此协议本身很少成为攻击目标，但HTTP应用的服务器、客户端和web应用的资源是主要攻击目标。

尽管HTTP协议本身并不安全，但由于该协议本身没有会话管理和加密处理要求，因此HTTP开发的应用和服务器很容易受到攻击。例如远程登录的SSH协议，具有协议级认证和会话管理，比HTTP更安全。因此，HTTPS在越来越多的情况下取代了HTTP协议，并强制执行HTTPS。

一种进攻方式

其主要攻击方式有主动攻击和被动攻击两种。

主动对服务器进行攻击。

直接访问web应用程序，即导入攻击代码的攻击模式。通常的攻击包括向sql注入攻击和向操作系统命令注入攻击。

对服务器进行被动攻击。

消极攻击是一种攻击模式，它使用陷阱策略来执行攻击代码。跨站脚本攻击和跨站请求伪造是典型的攻击类型。

诱导用户执行一个设置的陷阱，然后使用嵌入的攻击代码开始发送一个detail请求。

浏览器和用户邮件客户端触发陷阱。

应征用户浏览器将发送包含攻击代码的htp请求到目标web应用程序。

Web应用有一个安全漏洞，在执行了攻击代码之后，它会成为一个攻击者的跳板，导致用户持有的cookie个人信息被盗，并在登录时恶意滥用用户权限。

第二，典型攻击。

2.1.网站间脚本编写(XSS)

您可以将js脚本嵌入正常网址，设置陷阱，诱使用户点击该非法连接，然后输入他们的个人信息。这样，通过js脚本将个人信息传递给了攻者。通过使用跨站点脚本窃取用户的cookie，用户很难意识到他们的登录信息已经泄露。

例子：

http://www.testymsg.php？发信=你好，全世界！

收件人将收到信息并显示“你好”。

例外发送消息：

http://www.testymsg.php？发=警报(“我在这儿！”)

接收方收到消息后，弹出一个警告窗口。

可以预见，如果将远程脚本嵌入到脚本中，将会产生非常严重的后果。

解析：

非常信任客户提交的数据！因此，解决方法是不信任客户提交的任何数据，只要是客户提交的数据，就应该进行过滤，然后进行下一步。