第七章 确保Web安全的HTTPS
1、HTTP的不足
通信使用明文(不加密),内容可能被监听
不验证通信方的身份,因此可能遭遇伪装
无法验证报文的完整性,所以有可能已遭篡改
2、通信加密
 通信的加密
内容的加密
3、通过查看对手的证书(SSL支持,第三方提供),来验证通信方
4、HTTP常用MD5和SHA-1等散列值校验方法来确认文件的数字签名,但是这需要用户亲自检查,浏览器无法自动帮用户检查。SSL提供认证和加密处理及摘要功能。
5、HTTP + 加密 + 认证 + 完整性保护 = HTTPS
6、共享秘钥加密(加密和解密用同一把秘钥)
7、公开秘钥加密(发送秘文的一方利用对方的公开秘钥进行加密处理,对方收到被加密的信息后,利用自己的私有秘钥进行解密)
8、HTTPS采用混合加密机制(在交换秘钥环节使用公开秘钥加密方式,之后的通信交换报文阶段则使用共享秘钥加密方式)
9、数字证书的业务流程:首先,服务器的运营人员向数字证书认证机构提出公开秘钥的申请;数字证书机构在判明提出申请者的身份之后,会对已申请的公开秘钥做数字签名;然后,分配这个已经签名的公开秘钥,并将该公开秘钥放入公钥证书后绑定在一起;服务器会将这份公钥证书发送给客户端,以进行公开秘钥加密方式通信;客户端可使用数字证书认证机构颁发的公开秘钥,对那张证书上的数字签名进行验证,认证通过,证明服务器的公开秘钥是值得信赖的。
 
第八章 确认访问用户身份的认证
1、认证,只有登陆者本人才知道的信息
 密码:只有本人知道的字符串信息
动态令牌:仅限本人持有的设备内显示的一次性密码
数字证书:仅限本人(终端)持有的信息
生物认证: 指纹或者虹膜等本人的生理信息
IC卡等:仅限本人持有的信息
2、HTTP/1.1使用的认证方式
BASIC认证(基本认证,明文)
DIGEST认证(摘要认证)
SSL客户端认证
FormBase认证(基于表单认证)
3、基于表单验证,会涉及Session管理及Cookie应用
 
第九章 基于HTTP的功能追加协议
1、消除HTTP瓶颈的SPDY,旨在解决HTTP的性能瓶颈,缩短Web页面的加载时间
2、解决瓶颈的方法
 Ajax 异步JS达到局部刷新,传输数据变少
Comet 一旦服务器有内容更新了,Comet不会让请求等待,直接返回响应,如果没有更新,Comet会将响应置于挂起状态。这是一种延迟应答,模拟实现服务器端向客户端推送的功能。
3、SPDY没有完全改写HTTP,而是在TCP/IP的应用层与运输层之间通过新加会话层的形式运作。同时。考虑到安全性,规定通信中使用SSL。使用SPDY获得以下功能:
多路复用,单一TCP连接,可以无限制处理多个HTTP请求
赋予请求优先级
压缩HTTP首部
推送功能,支持服务器主动向客户端推动数据的功能
服务器提示功能,服务器可以主动提示客户端请求所需的资源,在资源已缓存等情况下,可以避免发送不必要的请求
4、使用浏览器进行双全工通信的WebSocket,WebSocket是建立在HTTP基础上的协议,因此连接的发起方仍是客户端,一旦建立通信连接,不论服务器或者客户端,任意一方都可直接向对方发送报文。(客户端发送HTTP连接握手请求,在Upgrade字段设置为WebSocket协议,通知服务器更新连接协议)
5、期盼已久的HTTP/2.0(7项技术讨论)
 多路复用
TLS义务化
协商
客户端拉拽 服务端推送
压缩
流量控制
WebSocket
 
第十章 构建Web内容的技术
1、HTML
2、CGI 指Web服务器在接收到客户端发送来的请求后转给程序的一组机制。在CGI的作用下,程序会对请求内容作出相应的动作。
 
第十一章 Web的攻击技术
1、为服务器为目标的主动攻击,指攻击者通过直接访问Web应用,把攻击代码传入的攻击方式。
典型的攻击方式有,SQL注入攻击和OS命令注入攻击
2、以服务器为目标的被动攻击,指利用圈套策略执行攻击代码的攻击模式,在被攻击工程中,攻击者不直接对目标Web应用访问发起攻击。
典型的攻击方式有,跨站脚本攻击和跨站请求伪造

图解HTTP(三)的更多相关文章

  1. Oracle单节点_Grid_Infrastructure_DB_安装过程图解(一/三)

    首先进行各种准备: ASMLIB的准备,用户和目录的创建. 安装好Linux之后(采用了OEL 5.7),查看是否光盘中包含ASMLIB:

  2. Oracle单节点_Grid_Infrastructure_DB_安装过程图解(二/三)

    接上文 Oracle单节点_Grid_Infrastructure_DB_安装过程图解(一/三) 接下来,进行Grid Infrastructure 部分的安装:

  3. linux Wireshark图解TCP三次握手与四次挥手

    Linux Wireshark图解TCP三次握手与四次挥手 原文章链接:Wireshark图解TCP三次握手与四次挥手 文章内容丰富 值得学习

  4. wireshark抓包直观图解 TCP三次握手/四次挥手详解

    转http://www.seanyxie.com/category/linux/ 作者:seanyxie |   一. TCP/IP协议族 TCP/IP是一个协议族,通常分不同层次进行开发,每个层次负 ...

  5. 【转】HTTP学习---图解HTTP[三次握手&&ISO模型]

    [转]https://www.toutiao.com/i6592556686068679182/ 首先了解一次完整的HTTP请求到响应的过程需要的步骤: 1. 域名解析 2. 发起TCP的3次握手 3 ...

  6. wireshark抓包图解 TCP三次握手/四次挥手详解

    http://www.seanyxie.com/wireshark%E6%8A%93%E5%8C%85%E5%9B%BE%E8%A7%A3-tcp%E4%B8%89%E6%AC%A1%E6%8F%A1 ...

  7. wireshark抓包图解 TCP三次握手/四次挥手详解[转]

    原文链接:http://www.seanyxie.com/wireshark%E6%8A%93%E5%8C%85%E5%9B%BE%E8%A7%A3-tcp%E4%B8%89%E6%AC%A1%E6% ...

  8. 图解TCP三次握手

    参考:https://blog.csdn.net/u012804886/article/details/80998114

  9. Oracle单节点_Grid_Infrastructure_DB_安装过程图解(三/三)

    接上文: Oracle单节点_Grid_Infrastructure_DB_安装过程图解(二/三)

  10. 基础笔记(三):网络协议之Tcp、Http

    目录 一.网络协议 二.TCP(Transmission Control Protocol,传输控制协议) TCP头格式 TCP协议中的三次握手和四次挥手 TCP报文抓取工具 三.HTTP(Hyper ...

随机推荐

  1. Python安装依赖包及开发工具转移到Visual Studio 2019

    #pip升级pip install --upgrade pip#安装pillow图形库pip install pillow #安装二维码库 pip install MyQR PyCharm工具导入依赖 ...

  2. easyui的datagrid的使用记录

    datagrid是在 table的基础上变化而来的, 而不是在div的基础上来的. 从div来变成 datagrid,样式的设置还是是比较麻烦的. dg=datagrid 的标题 来源于 column ...

  3. jetty源码下载

    jetty下载地址:https://www.eclipse.org/jetty/download.html Release         9.4.20.v20190813 .zip .tgz api ...

  4. Spark SQL里concat_ws和collect_set的作用

    concat_ws: 用指定的字符连接字符串 例如: 连接字符串: concat_ws("_", field1, field2),输出结果将会是:“field1_field2”. ...

  5. 002-Python3-基础语法-赋值、显示类型、数据类型[数值、字符串、列表、元祖、集合、字典]

    一.基础语法 参看地址:https://www.runoob.com/python3/python3-tutorial.html 基础数据类型 Python 中的变量不需要声明.每个变量在使用前都必须 ...

  6. 转 zabbix 自动发现和 zabbix自定义用户key与参数User parameters

    ########31 https://www.cnblogs.com/yjt1993/p/10883345.html 1.概念 在配置Iterms的过程中,有时候需要对类似的Iterms进行添加,这些 ...

  7. iOS - 获取当前时间日期星期几

    //获取当前时间日期星期 - (NSString *)getCurrentTimeAndWeekDay { NSArray * arrWeek=[NSArray arrayWithObjects:@& ...

  8. nginx+tomcat报400的坑

    nginx+tomcat的网页,在手机上通过浏览器可以正常访问,但是在自己的app的webview中访问就报400.查了访问日志,每次app中访问该页面,tomcat中就出现一个GET null的申请 ...

  9. simplexml_load_string 转换xml为数组

    php simplexml_load_string 函数可以很简单转换 xml 字符串为 SimpleXMLElement 对象 但是,对象的值不好取,例如: result => SimpleX ...

  10. Prometheus监控教程——从入门到放弃

    Prometheus的安装还是比较简单的 下载地址如下 https://prometheus.io/download/ 解压,修改配置,运行.默认监听9090端口 [root@localhost ~] ...