上一篇的连载~
关于HTTP首部
请求首部字段
上面几张图贴出了,HTTP首部的几乎所有信息,我们,在请求和响应报文中都能看到对应字段,这里可以当字典用。
确保web安全的HTTPS
http的不足:
1.通信使用明文,内容可能被窃取
2.不验证通信方的身份,因此有可能遭遇伪装
3.无法证明报文的完整性,所以有可能已经被篡改
接下就认识一下HTTPS
HTTPS = HTTP+加密+认证+完整性保护
https并非是应用层的一种新协议,只是http通信接口部分用SSL和TLS协议来代替而已。
SSL采用一种叫做公共密钥加密的处理方式:
使用一对非对称的密钥,一把叫做私有密钥,另一把叫做公开密钥。
确认访问用户身份的认证
(1)BASIC认证
(2)DIGEST认证
(3)SSL认证
(4)FormBase认证(基于表单的认证)
基于表单认证普及最多。即客户端发哦少年宫用户ID和密码来认证。
但鉴于HTTP是无状态协议,引入了Cookie来管理session会话
基于HTTP的功能追加协议
随着互联网的发展,HTTP进入了瓶颈!
Ajax:局部更新页面(有可能产生大量请求)
Comet:服务器向客户端推送资源(可以做到实时更新,但需要保持连接会消耗很多资源)
这两者一定程度上使http得到了改善,但无法解决根本问题。
而处于持续开发状态的SPDY协议,正是为了在协议级别消除HTTP所遭遇的瓶颈!
SPDY考虑到安全性问题,规定通信中使用SSL。
SPDY以会话层的形式加入,控制对数据的流动,但还是采用HTTP建立通信连接
SPDY的设计:
多路复用流:通过单一的TCP连接,可以无限制处理多个HTTP请求
赋予请求优先级
压缩HTTP首部
推送功能
服务器提示功能:提示客户端请求所需资源
使用浏览器进行全双工通信的WebSocket
特点:
(1)推送功能
(2)减少通信量
为了实现WebSocket通信,需要用到HTTP的Upgrade首部字段,告知服务器通信协议发生改变,以达到握手的目的
成功握手建立WebSocket连接之后,通信不再使用HTTP的数据帧,而采用WebSocket独立的数据帧。简单来说,握手成功之后,WebSocket有了自己的一套规则。
Web的攻击技术
在客户端即可篡改请求
因输出值转义不完全引发的安全漏洞
跨站脚本攻击
对用户cookie的窃取攻击
SQL注入攻击
HTTP首部注入攻击
邮件首部注入攻击