Afinal, onde está o "o corpo" de cada requisição?

Fala ai Arthur, tudo bem? Vamos lá:

Quando acessamos um site, a princípio fazemos um GET com seus respectivos headers. Vai mais alguma coisa além dos headers na requisição?

Requisições do tipo GET normalmente possuem apenas os headers (cabeçalhos) na requisição, caso algum valor seja necessário ser passado para o servidor a gente usa os Query Params ou Path variables.

Ela também pode ter body, mas, isso não é uma boa prática ou algo recomendável de ser feito.

No caso de um POST, temos também novamente os headers, e o corpo no caso, seriam os dados a serem criptografados? E assim por diante?

Os dados que seram criptogrados é tudo da request menos o hostname, ou seja, os headers e body serão criptografados.

Apenas o domínio e porta (caso tenha) que não será.

Espero ter ajudado.

Matheus, ajudou sim. Eu perguntei do POST pois, imaginamos a situação:

Quando eu faço um login eu estou enviando informações para o servidor:

• Esses dados devem ser criptografados e,
• Para serem criptografados, não devo usar o GET que envia parâmetros na URL e sim o POST, que envia os parâmetros no corpo da requisição.

E o que eu queria saber é se justamente, os dados de login e senha vão no corpo da requisição do POST, é só isso.

Fala Arthur, vamos lá:

E o que eu queria saber é se justamente, os dados de login e senha vão no corpo da requisição do POST, é só isso.

Se você está informando eles no body ao realizar a requisição, então sim, eles irão no corpo.

Mas, o POST também pode receber query params (parâmetros na URL) e já vi aplicações enviarem usuário e senha através de parâmetros com POST e até mesmo usar GET para autenticação.

Para serem criptografados, não devo usar o GET que envia parâmetros na URL e sim o POST, que envia os parâmetros no corpo da requisição.

As informações nos parâmetros do GET também são criptografadas, não é apenas o corpo do POST, por isso eu dei uma resposta mais completa anteriormente.

Espero ter ajudado.