摘要:
HTTP协议本身并不存在安全性问题,应用HTTP协议的服务器和客户端以及运行在服务器上的Web应用等资源才是攻击的目标。 Web网站使几乎都用会话管理、加密处理等安全性方面的功能。而HTTP协议本身不具备这些功能。 在HTTP请求报文内加载攻击代码能对Web应用发起攻击。 针对Web的攻击模式 主动 阅读全文
摘要:
HTTP是为了发送Web上的超文本而开发的标记语言。 CSS 层叠样式表,可以指定如何展现HTML内的各种元素,属于样式表标准之一。 动态HTML是指使用客户端脚本语言将静态的HTML内容变成动态的技术的总称。 动态HTML技术是通过调用客户端脚本语言JavaScrpit,实现对HTML的Web页面 阅读全文
摘要:
SPDY的开发目标旨在解决HTTP的性能瓶颈,缩短Web页面的加载时间。 HTTP的瓶颈 一条连接上只可发送一个请求。 请求只能从客户端开始。客户端不可以接收除响应以外的指令。 请求/响应未经压缩就发送。首部信息越多延迟就越大。 发送冗长的首部。每次互相发送相同的首部造成浪费较多。 可任意选择数据压 阅读全文
摘要:
认证:密码、动态令牌、数字证书、生物认证、IC卡。 HTTP所使用的认证方式 BASIC认证(基本认证),BASIC认证是从HTTP/1.0就定义的认证方式。Base64编码方式。 DIGEST认证(摘要认证),DIGEST认证同样适用质询/响应的方式,但不会想BASIC认证那样直接发送明文密码。 阅读全文
摘要:
HTTP的缺点 通信使用明文(不加密),内容可能会被窃听 不验证通信方的身份,因此有可能遭遇伪装 任何人都可发起请求 查明对手证书 无法证明报文的完整性,所以有可能已遭篡改 接收到的内容可能有误 用MD5和SHA-1等散列值校验的放阿飞,以及用来确认文件的数字签名方法 HTTPS是指HTTP与SSL 阅读全文
摘要:
HTTP协议的请求和响应报文中必定包含HTTP首部。首部内容为客户端和服务器分别处理请求和响应提供所需要的信息。在请求中,HTTP报文由方法、URI、HTTP版本、HTTP首部字段等部分构成。在响应中,HTTP报文由HTTP版本、状态码(数字和原因短语)、HTTP首部字段3部分构成。 客户端和服务器端以HTTP协议进行通信的过程中,无论是请求还是响应都会使用首部字段,它能起到传递额外重要信息... 阅读全文