http
绝世好阿狸
这个作者很懒,什么都没留下…
展开
-
【Https(二】】实战 openssl 配置 tomcat
CA私钥使用如下命令生成CA私钥:openssl genrsa -out CaPriKey.pem直接查看私钥文件:-----BEGIN RSA PRIVATE KEY-----MIIEpAIBAAKCAQEA0iNHMj1XieO51g0qnjYKwk39PGxzzUUTZIn5dBbY5YaBZAQl+M7QFASxsK9g42Xx7CWH0RlWQVa0CR6slIS...原创 2020-05-03 08:06:26 · 9785 阅读 · 1 评论 -
【Https(一)】理论
因为网络是不安全的,直接使用Http协议,会有如下问题:1.明文传输;如果信息被第三方截获,信息会被泄露;2.信息完整性;如果信息被第三方截获,信息可能被篡改;3.身份验证;交互的双方无法确认对方的身份,可能有第三方冒充;那么Https又是如何解决以上问题呢?针对问题1:交互双方在握手阶段,使用非对称加密算法交换秘钥,后续的信息传递使用该秘钥进行对称加密;针对问题2:在发送...原创 2020-05-02 17:01:26 · 423 阅读 · 0 评论 -
【http】跨域 java
同源说起跨域,首先不得不说同源,这是浏览器的一个策略,规定一个页面只能请求当前源的资源。举个例子,访问www.baidu.com返回的页面里的js,只能访问www.baidu.com域名下的资源,不能访问其他比如www.qq.com的资源。这么做是出于安全的考虑。如果没有同源策略,那么某些不正当页面可能会访问用户打开的其他页面的资源,访问其他资源时,根据浏览器的规范,cookie等信息会被...原创 2019-12-15 19:50:02 · 274 阅读 · 0 评论 -
【http】xss和csrf 攻击
xss攻击:xss,也叫作css,cross-site-script,跨站脚本攻击,原理大致是将一段恶意的js代码注入到目标网站,用户浏览被注入的网站时就会被攻击。常规来讲,有以下三种途径:1.反射型将恶意的js代码作为参数或者表单信息,提交给服务端,服务端没有对输入做校验或者处理,而是直接将参数嵌入到返回页面中,返回给用户,这样恶意的js代码就会在返回页面中被执行。2.dom...原创 2019-12-15 16:12:39 · 472 阅读 · 0 评论 -
【http】一些点
http1.请求和响应,结构都是:行+首部+实体,一般前两个是必须的。首部又可以分为通用首部,请求首部,响应首部和实体首部。实体首部用于指定实体部分的内容,比如长江的content-type参数;2.常见的request方法有get,post等。get用与请求资源。post用于提交资源。3.传递参数可以直接拼在url后面,也可以通过post方法将参数写入到实体中。对于post方法,可以同时在...原创 2019-12-01 14:14:17 · 110 阅读 · 0 评论 -
【http】相关知识
1.http1.1协议 主要是增加了持久连接的技术,浏览器访问一个web页面时,会根据返回的html页面解析,如果遇到比如img,css或者js文件时,它会发起后续的http请求去获取资源,每一次都会有tcp的建立和关闭,很消耗性能。来自http://blog.csdn.net/zhangxiaoxiang/article/details/765082。所以http1.1提出了持久化连...原创 2017-09-18 21:51:52 · 448 阅读 · 2 评论 -
【http】常见的content-type
1.application/x-www-form-urlencoded参数会是一个一个的键值对:key1=value1&key2=value2。后端可以直接使用web容器的内置的方法get。2.mulpart/form-data参数之间被分隔符分开,常用于文件上传。如果是文件,分隔符之间是二进制数据。3.application/json:...原创 2019-08-04 18:21:34 · 299 阅读 · 0 评论