图解HTTP(3)

2018-01-30  本文已影响0人  Ztry

第九章 基于HTTP的功能追加协议

1. 消除HTTP瓶颈的SPDY(Google 2010),解决性能瓶颈,缩短Web页面加载时间(50%)

  1. 瓶颈
  1. 解决方法

2. WebSocket网络技术解决HTTP协议问题

  1. WebSocket是HTML5的一部分(2011),web浏览器与web服务器之间全双工通信标准,主要解决Ajax和Comet里XMLHttpRequest附带的缺陷所引起的问题

    (1). WebSocket 协议的主要特点: 推送功能(服务器->客户端); 减少通信量(建立WebSocket连接后一直保持连接状态(握手))
    (2). 握手-请求:需要HTTP的Upgrade首部字段,告知通信协议发生改变
        Upgrade: websocket
        Sec-WebSocket-Key: dGhlIHNhbXBsZSBub25jZQ== 记录握手过程中必不可少的键值
        Sec-WebSocket-Protocol: cchat,superchat 记录使用的子协议
    
    (3).握手-响应:请求返回101 Switching Protocols的响应
        Sec-WebSocket-Accept: s3pPLMBiTxaQ9kYGzzhZRbK+xOo= 由握手请求发送过来的
        Sec-WebSocket-Key字段值生成的;握手成功后确立WebSocket连接后,不再使用HTTP的数据帧,
        改用WebSocket独立的数据帧,WebSocket(全双工通信)
    
    (4).用JavaScript调用"The WebSocket API"

3. HTTP/2.0(2014)

特点: 使用速度,通过HTTP/1.1与TCP连接; 集成了SPDY | HTTP Speed+Mobility | Network-Friendly HTTP Upgrade

  1. 压缩: SPDY,Friendly
  2. 多路复用: SPDY
  3. TLS义务化: Speed+Mobility
  4. 协商: Speed+Mobility,Friendly
  5. 客户端拉拽(Client Pull)/服务器推送(Server Push): Speed+Mobility
  6. 流量控制: SPDY
  7. WebSocket: Speed+Mobility

4. WebDAV

  1. Web服务器管理文件的WebDAV(web-based Distributed Authoring and Versioning,基于万维网的分布式创作和版本控制),对Web服务器内容直接进行文件复制,编辑等操作的分布式文件系统,拓展HTTP/1.1,代替HTTP/1.1中的PUT和DELETE,安全性更高

第十章 构建Web内容的技术

  1. HTML(HyperText Markup Language, 超文本标记语言), HTML5
  2. CSS(Cascading Style Sheets, 层叠样式表), 解耦结构与设计, CSS3
  3. 动态HTML = DOM + JavaScript
  4. CGI(Common Gateway Interface, 通用网关接口), 是指Web服务器接收到客户端发送过来的请求后转发给程序的一组机制(接到请求一次就启动一次),Servlet(Java)解决了CGI问题
  5. XML, 可扩展标记语言, 数据传输
  6. RSS, 简易信息聚合, 聚合内容, 用XML
  7. JSON(JavaScript Object Notation),对象表示法,轻量级,数据标记语言,7大类型:false/null/true/对象/数组/数字/字符串

第十一章 Web的攻击技术(HTTP协议缺陷,安全性问题)

  1. 攻击模式
    • 主动攻击(访问Web应用,传入攻击代码): SQL注入, OS命令注入
    • 被动攻击(圈套执行): 跨站脚本攻击(XSS), 跨站点请求伪造(CSRF)
  2. 安全对策
    • 客户端验证
    • Web应用端(服务器端)的验证: 输入值验证; 输出值转义
  3. 跨站脚本攻击(Cross-Site Scripting, XSS)
    1. 利用虚假输入表单骗取用户个人信息
    2. 利用脚本窃取用户的Cookie值
    3. 显示伪造的文章或图片
  4. SQL注入攻击(SQL Injection)指针对Web应用使用的数据库, 通过运行非法的SQL而产生的攻击

    影响:
    1. 非法查看或篡改数据库内的数据
    2. 规避认证
    3. 执行和数据库服务器业务关联的程序
  5. OS命令注入攻击(OS Command Injection): 执行非法的操作系统命令达到攻击
  6. HTTP首部注入攻击(被动攻击); HTTP响应截断攻击(向首部主体内添加内容)
    影响:
    1. 设置任何Cookie信息
    2. 重定向至任意URL
    3. 显示任意的主体(HTTP响应截断攻击)
  7. 邮件首部注入攻击
  8. 目录遍历攻击
  9. 远程文件包含漏洞(主要是PHP存在的安全漏洞, PHP5.2.0默认无效)
  10. 因设置或设计上的缺陷引发的安全漏洞:
    1. 强制浏览
    2. 不正确的错误信息处理
    3. 开放重定向
  11. 因会话管理疏忽引发的安全漏洞
    1. 会话劫持
    2. 会话固定攻击
    3. 跨站点请求伪造(CSRF)
  12. 其他安全漏洞
    1. 密码破解: 穷举法; 字典攻击; 彩虹表; 拿到密钥; 加密算法的漏洞
    2. 点击劫持
    3. DOS攻击: 服务停止攻击或拒绝服务攻击, 多台计算机同时发起的DOS攻击就是DDOS攻击
    4. 后门程序
上一篇 下一篇

猜你喜欢

热点阅读