圖解HTTP(三)

來源:互聯網
上載者:User

標籤:cookie   基礎   認證通過   應用   用戶端   資源   session管理   欄位   2.0   

第七章 確保Web安全的HTTPS1、HTTP的不足
通訊使用明文(不加密),內容可能被監聽不驗證通訊方的身份,因此可能遭遇偽裝無法驗證報文的完整性,所以有可能已遭篡改
2、通訊加密
1 通訊的加密2 內容的加密
3、通過查看對手的認證(SSL支援,第三方提供),來驗證通訊方4、HTTP常用MD5和SHA-1等散列值校正方法來確認檔案的數位簽章,但是這需要使用者親自檢查,瀏覽器無法自動幫使用者檢查。SSL提供認證和加密處理及摘要功能。5、HTTP + 加密 + 認證 + 完整性保護 = HTTPS6、共用秘鑰加密(加密和解密用同一把秘鑰)7、公開秘鑰加密(發送秘文的一方利用對方的公開秘鑰進行加密處理,對方收到被加密的資訊後,利用自己的私人秘鑰進行解密)8、HTTPS採用混合加密機制(在交換秘鑰環節使用公開秘鑰加密方式,之後的通訊交換報文階段則使用共用秘鑰加密方式)9、數位憑證的商務程序:首先,伺服器的運營人員向數位憑證認證機構提出公開秘鑰的申請;數位憑證機構在判明提出申請者的身份之後,會對已申請的公開秘鑰做數位簽章;然後,分配這個已經簽名的公開秘鑰,並將該公開秘鑰放入密鑰憑證後綁定在一起;伺服器會將這份密鑰憑證發送給用戶端,以進行公開秘鑰加密方式通訊;用戶端可使用數位憑證認證機構頒發的公開秘鑰,對那張認證上的數位簽章進行驗證,認證通過,證明伺服器的公開秘鑰是值得信賴的。 第八章 確認訪問使用者身份的認證1、認證,只有登陸者本人才知道的資訊
1 密碼:只有本人知道的字串資訊2 動態令牌:僅限本人持有的裝置內顯示的單次密碼3 數位憑證:僅限本人(終端)持有的資訊4 生物認證: 指紋或者虹膜等本人的生理資訊5 IC卡等:僅限本人持有的資訊
2、HTTP/1.1使用的認證方式
BASIC認證(基本認證,明文)DIGEST認證(摘要認證)SSL用戶端認證FormBase認證(基於表單認證)
3、基於表單驗證,會涉及Session管理及Cookie應用 第九章 基於HTTP的功能追加協議1、消除HTTP瓶頸的SPDY,旨在解決HTTP的效能瓶頸,縮短Web頁面的載入時間2、解決瓶頸的方法
1 Ajax 非同步JS達到局部重新整理,傳輸資料變少2 Comet 一旦伺服器有內容更新了,Comet不會讓請求等待,直接返迴響應,如果沒有更新,Comet會將響應置於掛起狀態。這是一種延遲應答,類比實現伺服器端向用戶端推送的功能。
3、SPDY沒有完全改寫HTTP,而是在TCP/IP的應用程式層與運輸層之間通過新加會話層的形式運作。同時。考慮到安全性,規定通訊中使用SSL。使用SPDY獲得以下功能:
多工,單一TCP串連,可以無限制處理多個HTTP請求賦予請求優先順序壓縮HTTP首部推送功能,支援伺服器主動向用戶端推動資料的功能伺服器提示功能,伺服器可以主動提示用戶端請求所需的資源,在資源已緩衝等情況下,可以避免發送不必要的請求
4、使用瀏覽器進行雙全工通訊的WebSocket,WebSocket是建立在HTTP基礎上的協議,因此串連的發起方仍是用戶端,一旦建立通訊串連,不論伺服器或者用戶端,任意一方都可直接向對方發送報文。(用戶端發送HTTP串連握手請求,在Upgrade欄位設定為WebSocket協議,通知伺服器更新連線協定)5、期盼已久的HTTP/2.0(7項技術討論)
1 多工2 TLS義務化3 協商4 用戶端拉拽 服務端推送5 壓縮6 流量控制7 WebSocket
 第十章 構建Web內容的技術1、HTML2、CGI 指Web伺服器在接收到用戶端發送來的請求後轉給程式的一組機制。在CGI的作用下,程式會對請求內容作出相應的動作。 第十一章 Web的攻擊技術1、為伺服器為目標的主動攻擊,指攻擊者通過直接存取Web應用,把攻擊代碼傳入的攻擊方式。典型的攻擊方式有,SQL注入攻擊和OS命令注入攻擊2、以伺服器為目標的被動攻擊,指利用圈套策略執行攻擊代碼的攻擊模式,在被攻擊工程中,攻擊者不直接對目標Web應用訪問發起攻擊。典型的攻擊方式有,跨站指令碼攻擊和跨站請求偽造

圖解HTTP(三)

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.