基于HTTP的功能追加协议
消除HTTP瓶颈的SPDY:
Google在2010年发布了SPDY(取自SPeeDY),其开发目标旨在解决HTTP的性能瓶颈,缩短Web页面的加载时间。
HTTP的瓶颈,以下的HTTP标准会成为瓶颈:
- 一条连接上只可发送一个请求。
- 请求只能从客户端开始。客户端不可以接收除响应以外的指令。
- 请求/响应首部未经压缩就发送。首部信息越多延迟越大。
- 发送冗长的首部。每次互相发送相同的首部造成的浪费较多。
- 可任意选择数据压缩格式。非强制压缩发送。
暂时的解决方法:
- Ajax:核心使用XMLHttpRequest的API,通过JavaScript脚本语言的调用就能和服务器进行HTTP通信。可以局部更新页面。
- Comet:一旦服务端有内容更新了,Comet不会让请求等待,而是直接给客户端返回响应(Server Push)。
SPDY的设计与功能:
SPDY没有改写HTTP协议,而是在TCP/IP的应用层与运输层之间通过新加会话层的形式运作。同事,为了安全,SPDY规定通信中使用SSL。
使用SPDY后,HTTP协议额外获得以下功能:
- 多路复用流:通过单一的TCP连接,可以无限制处理多个HTTP请求。
- 赋予请求优先级:SPDY不仅可以无限制地并发处理请求,还可以给请求分配优先级顺序。
- 压缩HTTP首部:压缩HTTP请求和响应的首部。
- 推送功能:支持服务器主动向客户端推送数据的功能。
- 服务器提示功能:服务器可以主动提示客户端请求所需的资源。
SPDY确实消除了一部分Web瓶颈,但很多Web网站存在的问题并非仅仅是由HTTP瓶颈所导致。
WebSocket:
WebSocket作为HTML5标准的一部分,可以即Web浏览器与Web服务器之间全双工通信标准。就是说一旦Web服务器和客户端之间建立起WebSocket协议的通信连接,之后所有的通信都依靠这个专用协议进行 。通过过程可以互相发送JSON、XML、HTML或图片等任意格式的数据。WebScoket成功握手确立WebSocket连接之后,通信时不再使用HTTP数据帧,而采用WebSocket独立的数据帧。
HTTP/2.0:
HTTP/2.0目标是改善用户在使用Web时的速度体验。
构建Web内容的技术
HTML:超文本标记语言(HyperText Markup Language),Web页面几乎都是用HTML写成的。
CSS:层叠样式表(Cascading Style Sheets),可以指定HTML的元素样式。
DOM:是用以操作HTML文档和XML文档的API。
JSON:是一种以JavaScript的对象表示法为基础的轻量级数据标记语言。能够处理的数据类型有:Boolean、null、Object、Array、Number、String,六种类型。
Web的攻击技术
有两种,主动攻击和被动攻击!
主动攻击:
- 以服务器为目标的主动攻击,具有代表性格攻击是SQL注入攻击和OS命令注入攻击。
被动攻击:
- 跨站脚本攻击(Cross-Site Scripting,XSS):是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。
- HTTP首部注入攻击:是指攻击者通过在响应首部字段内插入换行,添加任意响应或主体的一种攻击。
- 跨站点请求伪造(Cross-Site Request Forgeries,CSRF):攻击是指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新。