web安全基础
以前学过的东西都没怎么整理,比较杂乱,现在通过写博客,整理一下自己学过的东西,温习一下,会有不同的收获。
基础协议
HTTP:即超文本传输协议,是一种无状态的协议,只能由客户端发起。(无状态是指WEB浏览器和WEB服务器之间不需要建立持久的连接),使用80端口进行连接,信息属于明文传输。
HTTPS:其实就是HTTP的“升级”版本,在HTTP下加入了SSL层。即通过安全传输机制进行传送数据,所以比HTTP协议要安全一些,使用443端口进行连接。(一般需要到CA申请证书)
Telnet:是TCP/IP协议中的一员,是intelnet远程登陆服务的标准协议和主要方式。默认23端口
FTP:文件传输协议是TCP/IP协议中的一员,默认端口为20、21端口
B/S:浏览器/服务端架构
C/S:客户端/服务端架构
HTTP状态码:
- 1XX:信息提示,表示请求已经被成功接收,继续处理。范围:100~101
- 2XX:成功,服务器成功的处理了请求。范围:200~206
- 3XX:重定向,用于告诉浏览器客户端访问的资源已被移动。范围:300~305
- 4XX:客户端错误,比如:一个不存在的URL。范围:400~415
- 5XX:服务端错误,比如服务器运行出错。范围:500~505
HTTP请求头:
Accept:告诉服务端自己接受的什么内容类型、*/*表示任何类型、type/*表示该类型下的任何子类型、type/sub-type
Accept-Charset:告诉服务端自己接受的字符集
Accept-Encoding:浏览器申明自己接受的编码方法,通常指压缩方法、是否支持压缩、支持什么压缩方法(gzip、deflate)
Accept-Language:浏览器申明自己接受的语言
Authorization:当客户端接受来自web服务器的www-Authenticate响应时、返回自己的身份验证信息给web服务器
if-match:如果对象的Etag没有改变,即:对象没有改变,才执行的请求动作,获取文档
if-none-match:如果对象的Etag改变了,即:对象改变,才执行的请求动作,获取文档
if-Range:浏览器告诉web服务器,如果我请求的对象没有改变,就把我缺少的部分给我,如果对象改变了,就把整个对象给我。浏览器通过发送请求对象的Etag 或者自己所知道的 最后修改时间给web服务器,让其判断对象是否改变,总是和 Range 一起使用
Range:浏览器告诉服务器自己想取对象的哪一部分
referer:浏览器向web服务器表明自己时从那一个url进入到当前网页的,即:上一个页面
User-Agent:浏览器表明自己的身份,时哪种浏览器
HTTP响应头:
Conten-Encoding:文档的编码方法
Conten-Length:表示内容长度,只有在浏览器进行持久的HTTP连接的时候才需要这个数据
Conten-type:表示后面的文档属于什么MIME类型
set-cookie:设置和页面关联的cookie
www-Authenticate:客户应该在Authorization 头中提供什么类型的授权信息
Location:客户应当去哪里提取文档,用于接受端定位到资源的位置(重定向)
Allow:服务器支持哪些请求方法
Accept-Ranges:web服务器表明自己是否接受某个实体的一部分,bytes:表示接受、none:表示不接受
Refresh:1;url=http://www.baidu.com 隔多少秒之后,让当前页面去访问哪个页面
Etag:资源特定版本的标识符,这可以让缓存更高效,并节省带宽,因为如果内容没有改变,Web服务器不需要发送完整的响应。而如果内容发生了变化,使用ETag有助于防止资源的同时更新相互覆盖(“空中碰撞”)。
Last-Modified:web服务器认为对象的最后修改时间
ps:就先写到这吧,以后在更新