图解HTTP读书笔记

一、了解Web及网络基础

TCP/IP通信传输流
IP协议的作用是将各种数据包传送给对方。而要保证传送到对方，则需要两个重要的条件是IP地址和MAC地址。
TCP协议的作用是提供可靠的字节流服务。TCP协议采用了三次握手策略。握手过程中使用了TCP的标志(flag)-SYN(synchronize)和ACK(acknowledgement)

若在某个阶段莫名中断，TCP协议会再次以相同的顺序发送数据包
DNS 负责域名解析

二、简单的HTTP协议

请求必定由客户端发出，而服务端回复响应。
请求报文是由请求方法、请求URI、协议版本、请求头和内容实体构成。
响应报文基本由协议版本、状态码、接释状态码的原因短语、可选的响应首部以及实体主体构成。
HTTP是无状态协议

协议对于发送的请求和响应都不做持久化处理。客户端发了啥，他也不知道了。

随着Web的不断发展，无状态的设计会让业务变得棘手。比如用户登录到一家购物网站，即使他跳到其他页面，也需要保持他的登录状态。于是引入了Cookie技术。
5. HTTP支持的方法

HTTP初始版本中，每进行一次HTTP通信就要断开一次TCP连接

持久连接

为了解决上述TCP连接的问题，HTTP/1.1和一部分HTTP/1.0想出了持久连接的方法。只要任意一端没有明确提出断开连接，则保持TCP连接状态。在HTTP/1.1中，所有的连接默认都是持久连接。
8. 管线化

发送请求后无需等待响应可直接发送下一个请求。
9. Cookie

Cookie会根据从服务端发送的响应报文内一个叫Set-Cookie的首部字段信息，通知客户端保存Cooie。当下次客户端再往该服务器发送请求时，客户端会自动在请求中加入Cookie值

三、HTTP报文内的HTTP信息

请求报文和响应报文的结构
报文：是HTTP通信中的基本单位，由8位字节流组成，通过HTTP通信传输
实体：作为请求和响应的有效载荷数据（补充项）被传输，其内容由实体首部和实体主体组成。
内容编码

gzip（gnu zip）
compress
deflate(zlib)
identity(不进行编码)

分块传输

在HTTP通信过程中，请求的编码实体资源尚未全部传输完成之前，浏览器无法显示请求页面。传输大容量数据时，通过把数据分割为多块，可以使浏览器逐步显示页面。

分块传输会把实体主体分为多块，每块都会用十六进制标记块的大小。而实体主体的最后一块会使用“0（CR+LF）”来标记
6. 发送多种数据的多部分对象集合

发送邮件时，我们可以在邮件里写入文字并添加多份附件，包括图片、视频等。这是因为采用了MIME机制。而在MIME扩展中会使用多部分对象集合（Multipart）的方法。

HTTP中也采纳了多部分对象集合，发送的报文主体中可包含多类型实体。
多部分对象集合包含内容如下；

multipart/form-data

在web表单文件上传时使用
multipart/byteranges

状态码206，响应报文包含了多个范围的内容时使用

获取部分内容

以前下载过程中如果遇到网络中断，那就必须重新开始。为了解决这个问题就需要一个从之前下载中断处继续下载的功能。也就是指定范围进行请求

四、返回结果的HTTP状态码

状态码可描述请求的处理结果

常用状态码

200 请求正常处理
204 请求成功处理，但是没有资源可返回
206 Partial Content 响应报文中包含了指定范围的实体请求
301 永久性重定向
302 Found 临时性重定向
303 表示请求的资源存在另一个URI，应使用GET方法定向获取请求的资源
400 Bad request
401 未授权、未认证
403 请求访问的资源被服务器拒绝
404 服务器上无法找到对应的资源
500 服务器端执行请求时发生了错误
503 服务器超负荷或者停机维护，现在无法处理请求

不少返回的状态码响应都是错误的，但是用户可能察觉不到。

五、与HTTP协作的Web服务器

用单台虚拟主机实现多个域名
通信数据转发程序

代理

是有转发功能的应用程序
网关

是转发其他服务器通信数据的服务器
隧道

在相隔甚远的客户端和服务端两者之间进行中转，并保持双方通信连接的应用程序。

六、HTTP首部

报文结构
通用首部字段
HttpOnly属性

可以使js脚本无法获取Cookie。

七、确保Web安全的Https

HTTP的缺点

通信使用明文
不验证通信方的身份
无法证明报文的完整性

通信加密

通过和SSL（安全套接层）或TLS（安全层传输协议）的组合使用，可以加密HTTP的通信内容。与SSL组合使用的HTTP被称为HTTPS。
3. 不验证身份的问题

无法确定正在通信对方是否有访问权限
无法确定响应返回到的客户端是否是伪装的
无法阻止海量请求的Dos攻击

但如果使用了SSL，就可以查明对方的证书，证书是由值得信任的第三方机构颁布
4. 无法证明报文完整性

Http协议无法证明通信的报文完整性，可能会被中间人攻击来修改。其中采用的MD5和SHA-1等散列值校验的方法。
5. Https

HTTP+加密+认证+完整性保护

通常HTTP直接和TCP通信，当使用SSL的时候，则是先和SSL通信，再由SSL和TCP通信了。简言之，HTTPS，就是身批SSL协议这层外壳的HTTP。

HTTPS采用混合加密机制，在交换密钥环节使用公开密钥（公钥加密，非对称加密方式）加密，之后建立通信交换报文阶段使用共享密钥加密方式。

证明公开密钥的正确性需要证书，证书需要权威机构颁发。

HTTPS存在的问题，就是使用SSL时，速度会变慢。

通信慢需要进行SSL通信，通信量增加
需要加解密，会占用CPU资源

第八章确认访问用户身份的认证

起因：有些页面只想让特定的人浏览

HTTP/1.1使用的认证方式：

BASIC 认证
DIGEST 认证（摘要认证）
SSL客户端认证
FormBase 认证（基于表单认证）

BASIC 认证

步骤1：当请求的资源需要BASIC认证时，服务器会随状态码401，返回带Authenticate首部字段的响应。该字段内包含认证的方式及Request-URI安全域字符串
步骤2：收到状态码401的客户端为了通过BASIC，需要将ID和密码发送给服务器，发送的字符串格式为用户名:密码，再经过Base64编码。
步骤3：当用户代理方式是浏览器时，用户仅需要在弹出框内输入用户ID和密码就行了

BASIC认证的缺点是明文传输用户ID和密码，如果是使用的HTTP等非加密通信，信息容易被盗
2. DIGEST 认证

为了弥补BASIC认证的缺点，就有了DIGEST认证，采用的是质询/响应的方式。

步骤1：请求需要认证的资源时，服务器会随着401返回带WWW-Authenticate首部字段的响应。该字段包含临时质询码（随机数和nonce）
步骤2：接收到401状态码的客户端，返回的响应码中包含DIGEST认证必须的首部字段Authorization信息。首部字段Authorization中必须包含username,realm,nonce,uri和response的字段信息。其中realm和nonce就是之前从服务器接收到的响应字段。
步骤3：接收到包含Authorization请求的服务器，会确认认证信息的正确性。认证通过后返回Request-URI资源的响应。

九、基于HTTP的功能追加协议

SPDY

HTTP协议的瓶颈：在比如Facebook等网站上，几乎能实时观察到海量用户发布的内容。Web网站为了保存这些新增内容，需要在很短的时间内就会发生大量的更新。HTTP要想实现客户端就必须频繁的轮询。

HTTP的缺陷：

一个连接只能发一个请求
请求只能从客户端开始
请求/响应的首部未经压缩就发送
发送冗长的首部
可任意选择数据格式压缩，非强制压缩发送

使用SPDY后可以获得如下功能：

多路复用流

通过单一的TCP连接，可以无限制处理多个HTTP请求。

赋予请求优先级
压缩HTTP首部
推送功能

支持服务器主动向客户端推送数据的功能

服务器提示功能

服务器可以主动提示客户端请求所需的资源，在资源已缓存的情况下，可以避免发送不必要的请求
2. WebSocket

是Web浏览器和Web服务器之间全双工通信标准。由于是建立在HTTP协议的基础上，因此连接的发起方仍是客户端，而一旦确定WebSocket通信连接，任意一方都可以直接向对方发送报文。

十、构建Web内容的技术

主要讲了HTML、CSS、DOM等

十一、Web的攻击技术

跨站脚本攻击（XSS）

在动态生成HTML处发生。如下图网站：

SQL注入
OS命令注入攻击

通过Web应用，执行非法的操作系统命令
4. 设计错误

在登录页面时，如果用户没注册提示用户未注册，用户密码输入错误时，提示密码错误。这样攻击者可以利用信息的不同判断到输入的用户名是否注册。
数据库报错时抛出具体的sql错误信息。这样会让攻击者了解到数据库的表和字段信息等。

会话劫持

攻击者通过某种手段拿到了用户的会话ID，并使用他伪造成用户。
6. 点击劫持

利用透明的按钮或链接做成陷阱，覆盖在web页面之上，然后诱使用户点击那个链接访问内容的手段。
7. DoS攻击

集中利用访问请求造成资源过载，资源用尽的同时，服务也停止了。多台计算机发起的DoS攻击称为DDoS攻击。

posted @ 2020-08-08 23:32 女友在高考阅读(156) 评论(0) 编辑收藏举报

刷新页面返回顶部

女友在高考