HTTP与Web安全总结

最新推荐文章于 2024-07-12 23:46:40 发布
最新推荐文章于 2024-07-12 23:46:40 发布
阅读量181 收藏
点赞数
分类专栏: https 文章标签: http 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asdfghjkl45786/article/details/117886593
版权

网络七层协议OSI

  • 物理层
    • 定义物理设备标准进行比特流传输
  • 数据链路层
    • 数据检查纠错,保证正确传输帧数据
    • 数据检查纠错,保证正确传输帧数据
  • 网络层
    • 数据的路由寻址,可以是IP,ICMP等
  • 传输层
    • 提供端对端的接口,TCP,UDP
  • 会话层
    • 会话的建立与结束,数据传输同步
  • 表示层
    • 数据格式的转化
  • 应用层
    • 与用户应用程序的接口,比如实现Http,ftp,smtp,dns,telnet等

HTTP

  • 简介
    • 超文本传输协议,基于TCP/IP通信协议来传递数据
  • 特点
    • 简单快速:客户端向服务器请求服务时,只需传达请求方法和路径,请求方法常用GET,HEAD,POST。由于HTTP协议简单,程序规模小,因而通信速度很快
    • 灵活:Http允许传递任意类型的数据对象,传输类型由Content-Type加以标记
    • 无连接:无连接的含义是指每次连接只处理一个请求,处理完后自动断开,为节省传输时间和资源
    • 无状态:http协议是无状态协议,指的是请求不会依赖于前一个请求的状态参数等,所以如果要用到前一个请求的参数,需要再次携带前一次的参数进行请求
  • http状态码
    • 1xx:指示信息–请求已接收,继续处理
    • 2xx:成功–表示请求已被成功接收、理解、接收
    • 3xx:重定向–请求需要更进一步的操作,通常是转发到别的地址或页面
    • 4xx:客户端错误–请求有语法错误或请求无法实现
    • 5xx:服务器端错误–服务器未能实现合法请求

Web安全

  • SQL注入攻击
    • 避免直接拼接SQL,尽量使用成熟框架,比如laravel,xml中尽量不要使用$开头参数注入
  • CSRF攻击
    • 概述:跨站点请求伪造,CSRF攻击常常还伴随着XSS攻击,本质是伪造用户请求达到非本用户访问该用户才有权限的接口
    • 解决方案:强制用户和服务器交互,填写验证码;使用POST请求,更加不容易伪造,不易暴露
  • XSS攻击
    • 概述:脚本攻击,比如用户提交的评论内容里包含了一段脚本,提交后,打开该页面会自动运行该脚本,这就是没处理好XSS问题
    • 解决方案:在服务请求的时候加一层过滤即可,网上方案很多,只要意识到这点很容易解决,像Spring Security也提供了快捷的解决方案
  • 跨域
    • 前端使用JSONP,只能是POST请求
    • 后端接口添加header请求头设置Access-Control-Allow-Origin
    • nginx域名转发
Huhu呼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
WEB安全知识总结.zip
12-27
2. **基础入门**:了解Web应用程序的工作原理,包括HTTP协议、Web服务器、客户端与服务器的交互流程等,是理解Web安全的基础。学习HTTP状态码、请求方法(GET、POST等)和头部信息,有助于识别潜在的安全问题。 3. ...
Web安全HTTP
weixin_42294510的博客
07-03 676
HTTP协议 目前互联网结构为B/S结构(浏览器/服务器),当客户端与web服务器及逆行交互时,就存在web请求,这种请求都基于统一的应用层协议(HTTP)交互数据。 HTTP(超文本传输协议)是一种详细规定了浏览器和万维网服务器之间互相通信的规则,是万维网交换信息的基础,它允许将HTML(超文本标记语言)文档从web服务器传送到web浏览器。 1、发起http请求 URL(统一资源定位符,也就是网址):协议://服务器ip[:端口]/路径/[?查询] http://www.xxser.com/p
Web安全基础知识-HTTP
baidu_41612355的博客
04-16 1753
一.常用端口号 1.HTTP 超文本传输协议,默认TCP 80端口 2.FTP 文件传输协议,默认20,21端口 ftp端口号20和21的区别是:一个是数据端口,一个是控制端口,控制端口一般为21,而数据端口不一定是20,这和FTP的应用模式有关,如果是主动模式,应该为20,如果为被动模式,由服务器端和客户端协商而定。 4.Telnet 远程登陆协议代理服务器常用端口号:23 二.URL URL(统一资源定位符)也被成为网页地址,是互联网标准的地址。URL的标准格式如下: 协议://服务器IP[:..
HTTP——Web常见安全问题和防御
weixin_41309331的博客
09-07 451
Web中常见的安全问题有 SQL注入 XSS CSRF 点击劫持 1 SQL注入 原理:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令 防御: 对用户的输入进行校验,如通过正则表达式进行限制; 避免动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取; 避免使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接; 避免把机密信息明文存放; 2 XSS XSS即跨域脚本攻击(cross-site
HTTPweb安全常见面试题
jiaojsun的博客
06-27 3959
1.web安全和攻击你知道 Reflected XSS(基于反射的XSS攻击) 这种攻击主要依靠 站点服务端 返回脚本,在客户端 触发执行 从而发起Web攻击。 攻击的例子 1、当你在亚马逊 搜索图书的时候 搜不到书的时候显示提交的名称 2、在搜索框搜索内容,填入“<script>alert('handsome boy')</script>”, 点击搜索 3、如果前端...
Web安全HTTP协议
绀香零八的博客
03-07 339
信息系统安全与对抗实践慕课笔记 BurpSuite 模块介绍
网络安全12-Web安全与电子邮件安全.ppt
11-13
本文档总结网络安全中的Web安全和电子邮件安全相关知识点,涵盖了Web安全的基本概念、HTTP协议和安全性、S-HTTP、SSL/TLS、CGI、JavaScript、Applet等技术的安全性问题和解决方案。 一、Web安全的基本概念 * Web...
gsoap http webapi
08-18
总结,gSOAP以其强大的功能和灵活性,使得开发者能够高效地调用HTTP Web API接口。无论是GET还是POST,gSOAP都能提供便捷的接口和强大的错误处理能力,让网络通信变得更加简单。在实际开发中,理解并熟练运用gSOAP的...
比较简单实用的WEB安全设置总结
09-30
以下是对比较简单实用的WEB安全设置的详细总结: **服务器方面** 1. **文件系统格式**:首选NTFS格式,因为它提供了详细的权限管理,相比FAT32格式更安全。 2. **系统补丁**:保持服务器系统补丁的最新状态,防止...
Web应用安全HTTP协议的由来.pptx
06-18
**Web应用安全HTTP协议** 在Web应用安全领域,HTTP协议的各个版本都扮演着重要角色。HTTP 1.x的连接管理和状态管理可能存在的漏洞,如跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等,都需要开发者采取相应的安全...
HTTP Client
Mr.xing的博客
07-08 594
jdk9开始引入HTTP Client标准化,jdk10开始更新。CompletableFutures提供了非阻塞请求和响应式,java.util.concurrent.Flow API提供流量控制支持,从用户请求发布者和响应订阅者,一直到底层套接字,更容易的跟踪数据流。
Jetson-AGX-Orin gstreamer+rtmp+http-flv 推拉流
最新发布
Skynet的博客
07-12 215
SRS(Simple Realtime Server)是一个简单高效的实时视频服务器,支持RTMP、WebRTC、HLS、HTTP-FLV、SRT等多种实时流媒体协议。Orin是ubuntu20.04 ARM64架构的系统,自带gstreamer。修改/opt/srs/install/conf/srs.conf,使其内容如下。以下是摄像头的rtmp推流。采用的Orin的硬件编码器和硬件图像格式转换引擎。测试摄像头可以用v4l2-ctl命令或者用gst-launch-1.0。
403 Forbidden:深入解析 HTTP 禁止访问错误及排查方法
Coder加油站的专栏
07-07 1323
在与服务器交互过程中,你可能会遇到令人沮丧的 403 Forbidden 错误。这意味着服务器理解你的请求,但拒绝执行它,因为你缺乏访问该资源的权限。这就像试图进入一扇锁着的门,即使你站在门口,也无法进入。本文将深入探讨 403 Forbidden 错误的成因,并提供详细的排查步骤和解决方案,帮助你克服这个障碍,顺利访问所需资源。403 Forbidden 错误是一种权限错误,它与身份验证不同。
打造你的智能家居指挥中心:基于STM32的多协议(zigbee、http)网关(附代码示例)
嵌入式极客小张
07-12 740
随着物联网技术的蓬勃发展,智能家居正逐步融入人们的日常生活。然而,市面上琳琅满目的智能家居设备通常采用不同的通信协议,导致不同品牌设备之间难以实现互联互通。为了解决这一难题,本文设计了一种基于STM32的多协议智能家居网关,旨在实现对采用不同协议的设备的统一接入和控制。本网关以STM32微控制器作为核心处理器,通过集成WiFi、Zigbee、蓝牙等多种通信模块,实现对不同协议智能家居设备的接入。用户可以通过手机APP或Web网页对网关进行配置和管理,并远程控制家中的智能设备,享受便捷的智能家居体验。
用户在选择直连IP时的考虑因素——以极光HTTP和芝麻HTTP为例
2401_85937702的博客
07-11 794
在这个网络互联日益紧密的时代,直连IP的选择成为了众多企业、开发者乃至个人用户需要面对的重要决策。它不仅关乎网络访问的速度与稳定性,更直接影响到数据安全与业务连续性,我们深知这一选择背后的复杂性与重要性,因此,本文旨在为用户讲解在选择直连IP时应当着重考虑的几大要素,并通过对极光HTTP与芝麻HTTP的深度剖析,为您呈现两个不同维度的选择。
HttpUtil工具
不积跬步,无以至千里
07-12 121
【代码】HttpUtil工具。
koa + http-proxy-middleware 搭建一个带转发的静态服务器
Vintage
07-09 844
在日常的一般业务中,我们对大小写敏感,所以需要对每个到 koa 的请求,进行头部字段的大小写还原。在根目录下,创建static文件夹,写一个简单的index.html文件夹,然后在控制台输入 node koaServer.mjs 启动服务,然后浏览器输入localhost:3001/index.html 可以看到页面被打开。到目前为止,这个 koa2 搭建的简易服务器就可以使用了,但是在日常工作中,转发的请求可能不止一个,并且想要在控制台打印一些信息(响应结果等),就需要做进一步的修改了。
图解HTTP(5、与 HTTP 协作的 Web 服务器 6、HTTP 首部)
feng的博客
07-09 729
使用首部字段是为了给浏览器和服务器提供报文主体大小、所使用的语言、认证信息等内容。
Nginx七层(应用层)反向代理:HTTP反向代理proxy_pass篇
jclee95的个人博客
07-07 1116
Nginx提供了多种应用层反向代理支持,包括proxy_pass、uwsgi_pass、fastcgi_pass和scgi_pass等。其中,proxy_pass指令可以接受一个URL参数,用于实现对HTTP/HTTPS协议的反向代理;uwsgi_pass用于代理到uWSGI应用服务器;fastcgi_pass用于代理到FastCGI服务器;而scgi_pass则用于代理到SCGI(Simple Common Gateway Interface)应用。这些指令使Nginx能够灵活地处理不同类型的后端服务和应
web安全文档1
08-08
本文档主要介绍了基于Java开发的学生成绩管理应用程序的设计,涵盖了从项目概要到详细设计,再到功能演示和总结的全过程,特别强调了Web安全方面的设计。项目旨在实现对学生成绩的高效管理,通过信息化手段提高教学...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值