【读书笔记】图解HTTP

第零章 关于这本书

作者

上野 宣:OWASP日本分会主席,TRICORDER株式会社董事长。

出版社

人民邮电出版社

翻译

于均良:上海交大硕士,四点网创始人。

字数

22万

图数

172 张

首版

2014年5月

第一章 了解Web及网络基础

第二章 简单的TTP协议

第三章 HTTP报文内的HTTP信息

第四章 返回结果的HTTP状态码

第五章 与HTTP协作的Web服务器

第六章 HTTP首部

第七章 确保Web安全的HTTPS

第八章 确认访问用户身份的认证

当服务器的资源不是对所有人都公开时,就需要对访问资源的用户进行身份认证,只有认证通过了,才能访问资源。

BASIC(基本认证)

BASE64(用户名:密码)作为认证要素发送,由于是明文传输,通信协议应是HTTPS

浏览器 服务器 请求XXX资源 401(请提供身份凭证),当前认证是BASIC模式 BASE64(用户名:密码) XXX资源 401(请提供身份凭证) alt [ 认证通过 ] [ 认证失败 ] 浏览器 服务器

DIGEST(摘要认证)

流程同基本认证,只是浏览器发送给服务器的认证数据计算较为复杂,参见:RFC2617

SSL客户端证书认证(HTTPS认证)

浏览器 服务器 请求XXX资源 401(请提供身份认证),当前认证是SSL客户端证书认证 提供证书 XXX资源 401(请提供身份认证) alt [ 验证通过 ] [ 验证失败 ] 浏览器 服务器

注意:支付宝或者网银要求客户安装的数字证书,其实是浏览器的安全控件,与这里说的SSL证书没有关系。数字证书一方面可以搜集安装机器的物理信息,另一方面对于敏感信息的输入框定制输入逻辑,可以屏蔽钩子程序通过键盘输入获取输入信息,并在通信时使用自定义的加解密算法对敏感数据进行加密。

表单认证(使用范围最广)

服务器提供认证页面(登录页面)要求客户输入凭证,输入信息在HTML页面的表单控件中,表单提交给服务器,服务器验证通过后才返回其访问的资源。

第九章 基于HTTP的功能追加协议

第十章 构建Web内容的技术

第十一章 Web的攻击技术

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值