一、第一章 了解Web及网络基础
1.HTTP历史:
1)HTTP/0.9:HTTP于1990问世,当时标准未被正式建立,所以HTTP/1.0之前的版本,统称为HTTP/0.9
2)HTTP/1.0:1996年5月公布,记录于RFC1945,沿用至今
3)HTTP/1.1:1997年1月公布,记录于RFC2616,目前主流版本
4)HTTP/2.0:正在制定中
ps.RFC(Request for Comments),征求修改意见,制定HTTP协议技术标准的文档,不含Cooike
2.TCP/IP协议族:互联网连接协议(protocol),子集有:HTTP、TCP、IP、FTP、PPPoE、FTP等
3.TCP/IP四层模型:
1)应用层:FTP、DNS、HTTP
2)传输层:TCP、UDP
3)网络层:IP
4)链路层:操作系统、硬件驱动、网卡、光纤、硬件部分
PS.经过每层时会打上该层的首部信息,接收时去除
4.ARP协议:HTTP在网络传输时,通过ARP协议就可以解析目标地址,但是过程无法全面掌握,通过路由选择。
5.三次握手:发送SYN的flag->收到请求后回传一个带有SYN/ACK的flag->最后回传一个带有ACK的flag
6.URL是URI的子集,URI包含:Uniform(如http:或ftp:)、Resource(可标示的任何东西)、Identifier(标识符)
二、简单的HTTP协议
1.HTTP中可以使用的方法:GET、POST、PUT、HEAD、DELETE、OPTIONS、TRACE、CONNECT
2.持久连接:HTTP/1.1中,所有的连接默认都是持久连接
3.使用Cooike的状态管理
三、HTTP报文内的HTTP信息
1.HTTP报文本身是由多行(用CR+LF作换行符 )
2.HTTP首部内容:请求行、状态行、首部字段、其它
3.报文的内容编码格式有:gzip(GUN zip)、compress(UNIX系统的标准压缩)、deflate(zlib)、identity(不进行编码)
4.分割发送的分块传输编码:用于把实体主体分成多块发送,可以在通信时使用某种传输编码(Transfer Coding)
5.多部分对象集合(Multipart):Content-Type:multipart/form-data[multipart/form-byteranges],使用boundarg字符串来划分每个部分(参见P47、P48)
6.获取部分内容的范围请求:Range:bytes=5001-10000,响应返回206 Partical Content的响应报文
7.内容协商Content Negotiation:Accept、Accept-Charset、Accept-Encoding、Accept-Language、Content-Language
四、返回结果的HTTP状态码
1.类型简介:
1XX:信息性状态码,接受的请求正在处理
2XX:成功状态码
204:No Content,请求处理成功,但是没有资源可返回
206:Partial Content,客户端进行范围请求,服务器成功执行了这部分的GET请求
3XX:重定向状态码
301:Move Permanently:URL已更新(永久性的),需要进行书签引用的变更
302:Found,和301类似,但是是临时性的,不需要对书签进行更新
303:See Other,使用GET方法重定向到新的URL上。即使是POST方法访问,也只使用GET方法来做重定向,是和302方法的区别
304:Not Modified,发送附带条件的请求时,如果发生服务器未满足条件的情况,则返回此状态
307:Temporary Redirect:和302类似,但是不会从POST变成GET
4XX:客户端错误状态码,服务器端无法处理请求
400:报文存在语法错误,服务器无法理解。浏览器会像对待200 OK一样对待该状态码
401:Unauthorized,需要认证
403:Forbidden,不允许访问资源,可以在返回主体里描述原因
404:Not Found,服务器资源未找到,也可以在服务器拒绝请求且不想说明原因时使用
5XX:服务器错误状态码,服务器处理请求出错
500: Internal Server Error:服务器在执行请求时出错了
503:Service Unavailable:服务器超负荷或者在进行停机维护
五、与HTTP协作的WEB服务器
1.通信数据转发程序:
1)代理:缓存代理、透明代理(非透明代理)
2)网关:和代理类似,但是可以提供非HTTP协议服务器,如连接数据库、信用卡结算系统等
3)隧道:按要求建立一条与其他服务器的通信线路,使用SSL等加密手段
六、HTTP首部
1.HTTP首部字段类型:(书中有详细说明)
1)通用首部字段
2)请求首部字段
3)响应首部字段
4)实体首部字段
5)非HTTP/1.1首部字段:不在RFC2616中,而是在RFC4229中的47种首部字段,包括Cookie等
七、确保Web安全的HTTPS
1.HTTPS=HTTP+加密+认证+完整性保护
八、确认访问用户身份的认证
1.HTTP使用的认证方式:
1)BASIC认证(基本认证)
2)DIGEST认证(摘要认证)
3)SSL客户端认证
4)FormBase认证(基于表单认证)
2.通常,一种安全的保存密码的方式是,先给密码加盐,再使用散列(hash)函数计算出散列值后保存
九、基于HTTP的功能追加协议
1.为了消除HTTP的瓶颈,出现的解决方案:Ajax、Comet、SPDY(开发中)、WebSocket(HTML5)、HTTP/2.0(制定中)
2.WebDAV:是一个可对Web服务器上的内容直接进行文件复制、编辑等操作的分布式文件系统。它作为HTTP/1.1的协议定义在RFC4918中
十、构建Web内容的技术(略)
十一、Web的攻击技术
1.因输出值转义不完全引发的安全漏洞:
1)跨站脚本攻击(XSS)
2)SQL注入攻击
3)OS命令注入攻击
4)HTTP首部注入攻击
5)邮件首部注入攻击
6)目录遍历攻击
7)远程文件包含漏洞
2.因设置或设计上的缺陷引发的安全漏洞
1)强制浏览
2)不正确的错误信息处理
3)开放重定向
3.因会发管理疏忽引发的安全漏洞
1)会话劫持
2) 会话固定攻击
3)跨站点请求伪造(CSRF)
4.其它安全漏洞
1)密码破解
2)点击劫持
3)DoS攻击
4)后门程序