圖解HTTP讀書筆記--精簡版

標籤：

這本書重點講了兩點，分別是

1. HTTP的報文格式
2. HTTPS比HTTP優秀在哪裡

接下來分部分討論一下：

1. HTTP的報文格式請求報文格式：

請求行     指明要求方法 請求路徑 和協議   如 GET / HTTP1.1

通用首部  該部分是請求和響應報文共有的，一般是用來協商，以及位於請求和響應中間的Proxy 伺服器該如何運作

請求首部  描述了很多瀏覽器的資訊，瀏覽器的語言，接收的編碼等等

實體首部  該部分是請求和響應報文共有的 ，描述了後行後面內容的編碼，是否壓縮 等等

空行

內容

 

響應報文格式：

響應行     協議版本 狀態代碼 狀態嗎含義  如 HTTP1.1 200 OK

通用首部

響應首部  描述了很多伺服器軟體的資訊，如apache nginx 填寫的資訊

實體首部

空行

內容

 

2. HTTPS比HTTP優秀在哪裡

　　1. 採用了對稱式加密和非對稱式加密技術，這樣即使被竊聽，也不知道什麼意思

　　2. 採用了認證機制，防止了網站被偽造

　　3. 採用了訊息摘要，如MD5技術，這樣如果報文被修改過，MD5值便會不匹配，這樣你就知道被篡改了

 

原因：

    由於http採用明文傳送，訊息可被人截獲，篡改後再發給你，比如修改loaction資訊，讓你的瀏覽器重新導向到掛馬網站；

    或者修改網頁內容，添加一些廣告再回傳給你，很多電訊廠商小廣告就是這麼做的；

    http在防止竊聽和防止篡改防止偽造的能力都比較弱，https就是為了改進這三點而提出來的。

https的缺點：

    https不僅加密了內容，連HTTP的報文首部也加密了，在這樣的情況下，基於http1.1的單IP多網域名稱變不能用了，因為host欄位（http1.1新增欄位）也是被加密的，不知道應該用哪個網站的私密金鑰進行解密；即使用了https，單網域名稱必須單IP，無法單IP多網域名稱

3. 該書的其他內容

最開始講了講OSI七層模型

最後面講了web安全

補充了一些應對xss和單擊劫持的http首部欄位  x-xss-protection 和x-frame；當然xss也可以使用htmlspecialchar來轉義防止被嵌入js指令碼

圖解HTTP讀書筆記--精簡版