Home 01 - Conceitos 01 - Redes 07 - Camada de Aplicação 02 - Protocolos Exemplos 02 - Protocolo HTTP 03 - Interação 01 - Request

A Requisição HTTP (HTTP Request) é o ponto de ignição de toda e qualquer comunicação na World Wide Web. Trata-se da mensagem técnica enviada pelo Cliente (User-Agent) ao Servidor de Origem, expressando uma ação específica sobre um recurso identificado. Uma requisição bem estruturada segue regras rigorosas de sintaxe definidas na RFC 7230, garantindo que servidores, proxies e firewalls de aplicação (WAF) consigam interpretar, rotear e autorizar o pedido de acesso de forma precisa e segura.

1. Anatomia Detalhada da Mensagem de Requisição

Uma requisição HTTP é composta por três partes fundamentais, separadas por quebras de linha (CRLF).

Linha de Requisição (Request-Line)

É a primeira linha da mensagem e define o “que”, “onde” e “como” da transação.
- Método: A ação desejada (GET, POST, PUT).
- Request-URI: O caminho absoluto ou relativo do recurso (/docs/manual.pdf).
- Versão do Protocolo: A norma utilizada (HTTP/1.1).
- Exemplo: GET /index.html HTTP/1.1

Cabeçalhos de Requisição (Request Headers)

São metadados de chave-valor que fornecem o contexto necessário para que o servidor processe a requisição corretamente.
- Host: O nome de domínio do servidor (obrigatório desde o HTTP/1.1). Permite que um único IP hospede múltiplos sites (Virtual Hosting).
- User-Agent: Identifica o software do cliente (ex: Chrome, Bot do Google).
- Accept: Informa quais tipos de dados o cliente consegue processar (ex: text/html, application/json).
- Cookie: Transporta os dados de sessão do usuário de volta para o servidor.

Corpo da Requisição (Request Body)

Opcional, utilizado principalmente em métodos como POST, PUT e PATCH. Contém os dados reais que estão sendo enviados para o servidor (ex: um arquivo de imagem em um upload ou os campos de um formulário de cadastro).

2. O Cabeçalho Host e o Virtual Hosting

Antes do HTTP/1.1, as requisições não informavam o nome do domínio, apenas o caminho do arquivo. Isso exigia um endereço IP exclusivo para cada site na Internet.
- A Solução: A obrigatoriedade do cabeçalho Host. Agora, o servidor recebe Host: www.empresa.com.br e sabe exatamente em qual pasta de qual cliente deve buscar o arquivo index.php, permitindo a explosão da economia de hospedagem compartilhada.

3. Estados de Conexão e Metadados do Cliente

A requisição carrega informações que moldam a eficiência da resposta.
- Connection: keep-alive: Solicita ao servidor que mantenha o túnel TCP aberto para economizar tempo em novas requisições.
- Referer: Indica de qual página o usuário veio, essencial para análises de tráfego e proteção contra ataques de CSRF (Cross-Site Request Forgery).

4. Perspectiva de Cyber Security e Análise de Requisição

Para um analista de Cyber Security, a requisição é o “pacote de entrada” que deve ser inspecionado em busca de ameaças.

Buffer Overflow e URI Too Long

Atacantes tentam enviar linhas de requisição absurdamente longas (milhares de caracteres) na tentativa de estourar buffers de memória em servidores web desatualizados ou mal configurados. O servidor deve ser configurado para rejeitar requisições de tamanho anômalo imediatamente.

HTTP Request Smuggling

Uma técnica de ataque avançada que explora divergências na forma como dispositivos de rede contam o tamanho da requisição.
- O Ataque: Um atacante “esconde” uma segunda requisição dentro de uma primeira. O proxy vê apenas uma requisição, mas o servidor de backend vê duas. Isso permite ao atacante processar a segunda requisição sob a sessão de outro usuário (XSS ou bypass de autenticação).
- Proteção: Manter servidores de borda (proxies) e servidores de aplicação sincronizados na interpretação das RFCs de requisição.

5. Auditoria Técnica e Diagnóstico de Requisições

Administradores de sistemas utilizam o monitoramento de requisições para detectar falhas e tentativas de invasão:

# Inspecionando a requisição bruta que o navegador envia (vía curl)
curl -v https://www.seusite.com.br

# Monitorando requisições em tempo real com tcpdump (Porta 80)
# Identifica quais métodos e caminhos estão sendo mais solicitados por IPs suspeitos
sudo tcpdump -i any -A port 80 | grep "GET\|POST"

6. Conclusão: A Intenção do Acesso

A Requisição HTTP é a expressão da vontade do usuário na rede digital. Sem a sua estrutura clara, rica em metadados e rigorosa na sintaxe, a Internet seria incapaz de oferecer serviços personalizados e seguros. Dominique a anatomia da Request-Line, gerencie com precisão os cabeçalhos de contexto e proteja o seu servidor contra manipulações de estruturação de pedidos para garantir que a sua infraestrutura web seja rápida, previsível e resistente a tentativas de fraude e sequestro de sessão.