本文介绍了HTTP协议及其安全相关要点。主要内容包括：HTTP请求方法（GET/POST等）的安全使用原则，如GET应仅用于无副作用的操作；各请求头的安全风险，如HOST头可能导致域名欺骗、User-Agent头可被伪造注入XSS；以及HTTP版本特性（如1.1的持久连接）在攻击中的潜在利用。特别强调了TRACE方法可能绕过Cookie安全策略，CONNECT方法可建立内网穿透隧道等安全隐患。文章