http协议 传参类型 根据参数所在协议位置可分为 四大类

请求头参数 （head）

请求头参数顾名思义，是存放在请求头中发送给服务器的参数，服务器通过解析请求头获取参数内容。通常会存放本次请求的基本设置，以帮助服务器理解并解析本次请求的body体。
参数形式如：

Accept-Language : zh-CN,zh;q=0.8,zh-TW;q=0.5,en-US;q=0.3,en;q=0.2

其中 Accept-Language 为参数名称 :号后面紧跟请求的值。

ps:如上则表示本次请求的语言为中文和英文。 q用来标识语种权重 值在 0-1之间
服务器根据会这个请求头选择返回的语言

其他http协议中规定的参数及含义请参考 http请求头规范

当然我们也可以自定义请求头内容，参数名称和参数意义必须事先和服务器约定好否则没服务器无法理解你传输请求头的意义会忽略自定义参数。
其中 jQuery 添加请求头方式如下：

$.ajax({
          headers: {
              'Access-Token':$.cookie('access_token')
          }
      })

ps:cookies 是存放在每一条请求中的请求头上的特殊存储体 由于每次请求都会将全部cookies发送给服务器 所以不建议在cookies存储大量数据 ，也因此产生了session 技术，不过这是题外话了。

路径参数 （path）

路径参数顾名思义，本次请求的资源路径,紧跟请求域名的后面，服务器通过解析路径参数获取资源位置。路径参数是用/分隔的一系列字符串，其意义在于对服务器资源进行统一定位，如：

http://www.madmk.com/office/zhangsan

其中 /office/zhangsan 便是路径参数，其含义可解释为 找办公室里的张三，大多数情况下路径参数会代表服务器真实的文件路径。

REST API的兴起赋予了路径参数更为广阔的含义，有兴趣的朋友可以找一下有关 REST API 设计的文章。

ps:其中参数如有中文 或特殊符号如/ ,:,?,#,+,=等需要进行转义处理。

查询参数 （query）

查询参数，是房放在请求地址后面的参数同样以键值对进行标识形如：

userId=1

其中 userId 表示参数名称 1表示参数的值。参数名称为可重复的。
请求地址与参数之间用?进行分隔 多个参数之间用 &进行分隔，完整请求如下：

http://www.madmk.com/a/b/c?userId=1&userId=1&age=18&sex=男

大多数情况下使用 查询参数 进行传值的是GET请求，所有用表单提交的GET请求都会使用 查询参数 进行传参。

ps:其中参数如有中文 或特殊符号如/ ,:,?,#,+,=等需要进行转义处理。

请求体参数 （body）

请求体参数顾名思义，是存放在请求体中发送给服务器的参数。请求体参数格式复杂多变，服务器会先根据请求头中的 Content-Type 获取其格式，然后再根据其格式进行解析，常见的格式如下：

ps:其中application/from类型如有中文 或特殊符号如/ ,:,?,#,+,=等需要进行转义处理。

类似的还有很多这里不一一列举。有兴趣可以翻一下，Content-Type介绍

HPP(HTTP参数污染)

HPP是HTTP Parameter Pollution的缩写，意为HTTP参数污染。
原理：浏览器在跟服务器进行交互的过程中，浏览器往往会在GET/POST请求里面带上参数，这些参数会以 名称-值 对的形势出现，通常在一个请求中，同样名称的参数只会出现一次。但是在HTTP协议中是允许同样名称的参数出现多次的。比如下面这个链接：http://www.baidu.com?name=aa&name=bb ，针对同样名称的参数出现多次的情况，不同的服务器的处理方式会不一样。有的服务器是取第一个参数，也就是name=aa。有的服务器是取第二个参数，也就是name=bb。有的服务器两个参数都取，也就是name=aa,bb 。这种特性在绕过一些服务器端的逻辑判断时，非常有用。

HPP漏洞，与Web服务器环境、服务端使用的脚本有关。如下是不同Web服务器对于出现多个参数时的选择：

当网站开发者不熟悉Web服务器对于多参数时如何选择，将给攻击者可乘之机。HPP能针对客户端和服务端进行攻击。

HPP参数污染还可以用于绕过某些防火墙对于 SQL注入的检测，例如当Web服务器对多参数都同时选择时，

《GO程序设计语言》设计中案例，仅作为笔记进行收藏。此案例将HTTP请求参数解析成对应的匿名结构体，并使用反射来获取字段标签。

• params 解析函数

package params

import (
	"fmt"
	"net/http"
	"reflect"
	"strconv"
	"strings"
)

// Unpack 从 HTTP 请求 req 的参数中提取数据填充到 ptr 指向结构体的各个字段
func Unpack(req *http.Request, ptr interface{}) error {
	if err := req.ParseForm(); err != nil {
		return err
	}

	// 创建字段映射表，键为有效名称
	fields := make(map[string]reflect.Value)
	v := reflect.ValueOf(ptr).Elem()
	for i := 0; i < v.NumField(); i++ {
		fieldInfo := v.Type().Field(i)
		tag := fieldInfo.Tag
		name := tag.Get("http")
		if name == "" {
			name = strings.ToLower(fieldInfo.Name)
		}
		fields[name] = v.Field(i)
	}

	// 对请求中的每个参数更新结构体中对应的字段
	for name, values := range req.Form {
		f := fields[name]
		if !f.IsValid() {
			continue // 忽略不能识别的 HTTP 参数
		}

		for _, value := range values {
			if f.Kind() == reflect.Slice {
				elem := reflect.New(f.Type().Elem()).Elem()
				if err := populate(elem, value); err != nil {
					return fmt.Errorf("%s: %v", name, err)
				}
				f.Set(reflect.Append(f, elem))
			} else {
				if err := populate(f, value); err != nil {
					return fmt.Errorf("%s: %v", name, err)
				}
			}
		}
	}
	return nil
}

func populate(v reflect.Value, value string) error {
	switch v.Kind() {
	case reflect.String:
		v.SetString(value)

	case reflect.Int:
		i, err := strconv.ParseInt(value, 10, 64)
		if err != nil {
			return err
		}
		v.SetInt(i)

	case reflect.Bool:
		b, err := strconv.ParseBool(value)
		if err != nil {
			return err
		}
		v.SetBool(b)

	default:
		return fmt.Errorf("unsupported kind %s", v.Type())
	}
	return nil
}

• search 请求

package main

import (
	"fmt"
	"log"
	"net/http"

	"main/params"
)

func search(resp http.ResponseWriter, req *http.Request) {
	var data struct {
		Labels     []string `http:"l"`
		MaxResults int      `http:"max"`
		Exact      bool     `http:"x"`
	}

	// 设置默认值
	data.MaxResults = 10
	if err := params.Unpack(req, &data); err != nil {
		http.Error(resp, err.Error(), http.StatusBadRequest)
		return
	}

	fmt.Fprintf(resp, "Search:%+v\n", data)
}

func main() {
	http.HandleFunc("/search", search)
	log.Fatal(http.ListenAndServe(":8080", nil))
}