摘要:
CSRF攻击原理 CSRF (Cross-site Request Forgery,跨站请求伪造,也被称为"one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式 阅读全文
摘要:
跨站脚本攻击 XSS攻击原理 跨站脚本攻击(Cross Site Scripting),XSS是一种经常出现在web应用中的计算机安全漏洞 它允许恶意web用户将代码植入到提供给其它用户使用的页面中,其他用户在观看网页时,恶意脚本就会执行 这类攻击通常通过注入HTML或js等脚本发动攻击 攻击成功后 阅读全文
摘要:
会话管理机制 会话管理概述 绝大多数Web应用程序中,回话管理机制是一个基本的安全组件 回话管理在应用程序执行登录功能时显得特别重要 因为,它可以在用户通过请求提交他们的证书后,持续向应用程序保证任何特定用户身份的真实性 由于回话管理机制所发挥的关键作用。它们成为针对应用程序的恶意攻击的主要目标 若 阅读全文
摘要:
管理WEB服务器文件的WebDAV协议 WEBDAV追加方法 WEBDAV新增状态码 WEBDAV请求实例 QUIC&HTTP3.0 HTTP2.0的问题 队头阻塞 建立连接的握手延迟大 QUIC的特性 0 RTT 没有队头阻塞的多路复用 Web安全攻击概述 Web应用的概念 Web应用是由动态脚本 阅读全文
摘要:
搜索式的实践-SPDY HTTP的缺陷 单路连接 请求抵效 HTTP只允许由客户端主动发起请求 HTTP头部冗余 SPDY的改进 多路复用 请求优化 支持服务器推送技术 SPDY压缩了HTTP头 强制使用SSL传输协议 HTTP2 HTTP2.0性能增强的核心:二进制分帧 HTTP2.0首部压缩 单 阅读全文
摘要:
影响HTTP网络请求的因素 带宽 延迟 HTTP协议的瓶颈 一条连接上只发送一个请求 请求只能从客户端开始。客户端不可以接受除响应以外的指令 请求/响应头部不经压缩就发送 每次互相发送相同的头部造成的浪费较多 非强制压缩发送 WebSocket与HTTP 非持久化的HTTP WebSocket的 " 阅读全文
摘要:
HTTPS对性能的影响 协议交互所增加的网络RTT 加解密相关的计算耗时 网络耗时 HTTPS的访问过程 计算耗时 浏览器计算耗时 服务器端计算耗时 HTTPS常见问题 https加密是不是需要我在电脑上安装证书 / 保存密码? https不就是在http后面加了一个s,很难吗? https解决了所 阅读全文
摘要:
HTTPS协议概述 HTTPS可以认为是HTTP+TLS TLS是传输层加密协议,它的前身是SSL协议 HTTPS功能介绍 内容加密 1、非对称密匙交换 2、对称内容加密 身份认证 1、数字证书 数据完整性 HTTPS使用成本 证书费用以及更新维护 HTTPS降低用户访问速度 消耗CPU资源,需要增 阅读全文
摘要:
内容协议机制 指客户端和服务器端就响应的资源内容进行交涉,然后提供给客户端最为合适的资源。内容协商会以响应资源的语言,字 符集,编码方式等作为判断的基准。 内容协商方式 客户端驱动 客户端发送请求,服务器发送可选项列表,客户端作出选择后在发送第二次请求 服务器驱动 服务器检查客户端的请求头部集并决定 阅读全文
摘要:
HTTP中介值代理 典型的代理服务器 代理的作用 抓包 FQ 匿名访问 过滤器 HTTP中介之网关 网关可以作为某种翻译器使用,它抽象出了一种能够到达资源的方法。网关是资源和应用程序之间的粘合剂 网关扮演的是" 协议装换器 "的角色 WEB网关 Web网关在一侧使用HTTP协议,在另一侧使用另一种协 阅读全文