- 博客(16)
- 问答 (1)
- 收藏
- 关注
RSS订阅原创 HTTP图解读书笔记(第十一章 Web的攻击技术)
1 针对Web的攻击技术1.1 HTTP不具备必要的安全技能1.2 客户端即可篡改请求在HTTP请求报文内增加攻击代码,就能发起对Web请求的攻击。 通过URL查询字段或者表单、cookie、HTTP首部等途径把攻击代码传入,若这是web应用存在漏洞,那内部信息可能被窃取,或被攻击者拿到管理权限。1.3 针对web应用的攻击模式以服务器为目标的主动攻击 ...
2018-12-22 13:57:58
1103
原创 HTTP图解读书笔记(第十章 构建Web内容的技术)
HTMLWeb 页面几乎全由 HTML 构建 HTML:超文本标记语言,是为了发送web上的超文本而开发的标记语言。超文本:是一种文档系统,即文档中的任意位置的信息都可以和其它信息(文本和图片)建立关联,即超链接文本。标记语言:通过在文档的某部分插入特别的字符串标签,用来修饰文档的语言。HTML中的这种特殊的字符串就是HTML标签(Tag) 更易控制HTML的DOMDOM...
2018-12-20 15:37:09
214
原创 HTTP图解读书笔记(第九章 基于HTTP的功能追加协议)
消除HTTP瓶颈的SPDY旨在解决HTTP的性能瓶颈,减少Web页面的加载时间(50%)HTTP的瓶颈 对于实时更新的页面,需要客户端不断的发送请求给服务器,如果服务器没有更新,则就产生了徒劳的通信。 为了实现实时更新等Web应用的功能HTTP 存在以下局限: 1.一条连接上只能发送一个请求 2.请求只能从客户端发起,客户端不能...
2018-12-20 15:16:28
132
原创 HTTP图解读书笔记(第八章 确认访问用户身份的认证)
某些Web页面只想某些特定用户进行访问,这就需要身份认证一、何为认证核对的信息通常为以下几点:密码:只有本人才会知道的字符串信息 动态令牌:仅限本人持有的设备内显示的一次性密码。 数字证书:仅限本人(终端)持有的信息 生物认证:指纹和虹膜等本人的生理信息 IC 卡等:仅限本人持有的信息HTTP/1.1使用的认证方式BASIC 认证(基本认证) DIGEST 认证(摘要认...
2018-12-20 10:37:47
218
原创 HTTP图解读书笔记(第七章 确保Web安全的HTTPS)
一、HTTP的缺点通信使用明文(未加密的报文),不加密,内容可能会被窃听 不验证通信方的身份,有可能遭遇伪装 无法证明明文的完整性,所以可能已遭篡改通信使用明文可能被窃听 TCP/IP是可能被窃听的网络 TCP/IP 协议族的工作机制,通信内容在所有的通信线路上都有可能遭到窥视。 窃听相同段上的通信并非难事。只需要收集在互联网上流动的数据包(帧)就行了。...
2018-12-19 10:58:12
223
原创 HTTP图解读书笔记(第六章 HTTP首部)为cookie服务的首部字段和其它首部字段
为cookie服务的首部字段Set-Cookie 当服务端开始准备管理客户端的状态时,会事先告知各种信息。Set-Cookie字段属性:expires 指定浏览器可发送cookie的指定期限,当省略 expires 属性时,其有效期仅限于维持浏览器会话(Session)时间段内。 一旦 Cookie 从服务器端发送至客户端,服务器端就不存...
2018-12-18 16:47:35
152
原创 HTTP图解读书笔记(第六章 HTTP首部)实体首部字段
实体首部字段是包含在请求报文和响应报文中的实体部分所使用的首部,用于补充内容的更新时间等与实体相关的信息。Allow通知客户端能够支持Request-URI指定资源的所有HTTP方法。当服务器端收到不支持的HTTP方法时会返回405 Method Not Allowed。还会把支持的所有HTTP方法写入Allow返回Content-Encoding告知客户端可服务器对实体的主体...
2018-12-18 16:22:45
164
原创 HTTP图解读书笔记(第六章 HTTP首部)响应首部字段
Accept-Ranges告知客户端服务器是否可以处理范围请求(可以:bytes,不可以:none)Age告诉客户端,源服务器在多久前创建了响应,单位为秒ETag首部字段 ETag 能告知客户端实体标识。它是一种可将资源以字符串形式做唯一性标识的方式。服务器会为每份资源分配对应的 ETag值 另外,当资源更新时,ETag 值也需要更新。生成 ETag 值时,并没有统一的算法...
2018-12-18 15:57:51
172
原创 HTTP图解读书笔记(第六章 HTTP首部)请求首部字段
请求首部字段 Accept用于通知服务器和代理,能够处理的媒体类型和优先级eg:Accept: text/html,application/xhtml+xml,application/xml;q=0.几种媒体类型的例子:文本文件 text/html, text/plain, text/css ... application/xhtml+xml, ap...
2018-12-18 14:48:25
233
原创 HTTP图解读书笔记(第六章 HTTP首部)通用首部字段
HTTP/1.1通用首部字段Cache-Chtrol操作缓存的工作机制缓存请求指令 缓存响应指令 public:其他用户也可利用缓存private:响应只给特定的用户on-cache:防止从缓存中获取过期资源客户端发送请求如果有no-cache,则表示客户端不会接受缓存过的资源,缓存服务器必须把客户端请求发送给源服务器如果服务器...
2018-12-18 14:48:15
187
原创 HTTP图解读书笔记(第六章 HTTP首部)首部字段
HTTP请求报文HTTP响应报文一、HTTP首部字段使用首部字段是为了给浏览器和服务器提供报文主体大小、所使用的语言、认证信息等内容。四种HTTP首部字段类型: 通用首部字段 请求报文和响应报文两方都会使用的首部 请求首部字段 从客户端向服务器端发送请求报文时使用的首部。补充了请求的附加内容、客户端信息、响应内容相关优先级...
2018-12-18 14:44:09
139
原创 HTTP图解读书笔记(第五章 与HTTP协作的web服务器)
一、单台虚拟主机提供多个域名 HTTP/1.1 规范允许一台 HTTP 服务器搭建多个 Web 站点。这是因为利用了虚拟主机(Virtual Host,又称虚拟服务器)的功能。即使物理层面只有一台服务器,但只要使用虚拟主机的功能,则可以假想已具有多台服务器。如果一台服务器内托管了 www.tricorder.jp 和 www.hackr.jp 这两个域名,通过DNS解析到同一个IP地...
2018-12-17 19:03:46
131
原创 HTTP图解读书笔记(第四章 返回结果的HTTP状态码)
一、状态码5种状态码:具有代表性的14个状态码:2XX请求被正常处理200 ok 表示客户端发来的请求在服务端被正常处理了204 no Content 服务端请求处理成功,但是没有资源返回(响应报文中不含实体的主体),当从浏览器发出请求处理后,返回204,那么浏览器的页面不发生跟新。206 partial Content 客...
2018-12-17 15:35:58
149
原创 HTTP图解读书笔记(第三章 HTTP报文内的HTTP信息)
目的:了解HTTP通信响应和请求时怎么运作的一、HTTP报文HTTP报文:用于协议交互的信息被称为HTTP报文HTTP报文大致可分为报文首部和报文主体(应被发送的数据),两者由最初出现的空行来划分,通常,并不一定要报文主体二、请求报文和响应报文的结构 请求行:包含请求URL、请求方法、HTTP版本状态行:状态码、原因短语、HTTP版本首部字段:包含请求和响应的各种条...
2018-12-17 11:53:20
203
原创 HTTP图解读书笔记(第二章 简单的HTTP协议)
一、HTTP协议用于客户端和服务端的通信二、通过请求和响应的交换完成通信请求报文由请求方法、请求URL、协议版本、可选的请求首部字段和内容实体组成响应报文放由协议版本、状态码、用于解释状态码原因的短语、可选的响应首部字段和实体主体组成三、HTTP协议是不保存状态的协议使用 HTTP 协议,每当有新的请求发送时,就会有对应的新响应产生。协议本身并不保留之前一切的请求或响应...
2018-12-14 15:03:50
206
原创 HTTP图解读书笔记(第一章 了解web和网络基础)
一、TCP/IP概念TCP/IP是互联网相关联的协议集合的总称,协议中存在各式各样的内容。从电缆的规格到 IP 地址的选定方法、寻找异地用户的方法、双方建立通信的顺序,以及 Web 页面显示需要处理的步骤,等等。二、TCP/IP的分层管理分为四层:应用层、网络层、传输层、数据链路层。应用层:决定了向用户提供应用服务时通信的活动。TCP/IP预存了很多通用的应用服务,比如FTP(...
2018-12-13 16:52:11
165
空空如也
javascript快速排序提示‘too much recursion’
2018-10-16
TA创建的收藏夹 TA关注的收藏夹
TA关注的人