http/2降级
由于HTTP/2仍然相对较新,因此支持其支持的Web服务器通常仍必须与beplay体育能用吗仅说HTTP/1的旧式后端基础架构进行通信。结果,它已成为前端服务器使用HTTP/1语法重写每个传入的HTTP/2请求的普遍做法,从而有效地生成了其HTTP/1等价。然后将此“降级”请求转发到相关的后端服务器。
当http/1-steaking后端发出响应时,前端服务器会逆转此过程,以生成返回客户端的HTTP/2响应。
之所以起作用,是因为该协议的每个版本从根本上都是表示相同信息的另一种方式。HTTP/1消息中的每个项目在HTTP/2中具有近似值。
结果,服务器在两个协议之间转换这些请求和响应是相对简单的。实际上,这就是Burp的能力使用http/1语法在消息编辑器中显示http/2消息。
HTTP/2降级非常普遍,甚至是许多流行反向代理服务的默认行为。在某些情况下,甚至没有禁用它的选项。
HTTP/2降级有哪些风险?
HTTP/2降级可以使网站曝光以请求走私攻击,即使HTTP/beplay体育能用吗2本身在使用结束时通常被认为是免疫的。
HTTP/2的内置长度机制意味着,当使用HTTP降级时,可能有三种不同的方法来指定同一请求的长度,这是所有请求走私攻击的基础。