圖解HTTP（三）

第七章 確保Web安全的HTTPS

一、HTTP的不足

通訊使用明文（不加密），內容可能被監聽
不驗證通訊方的身份，所以可能遭遇假裝
沒法驗證報文的完整性，因此有可能已遭篡改

二、通訊加密

1 通訊的加密
2 內容的加密

三、經過查看對手的證書（SSL支持，第三方提供），來驗證通訊方

四、HTTP經常使用MD5和SHA-1等散列值校驗方法來確認文件的數字簽名，可是這須要用戶親自檢查，瀏覽器沒法自動幫用戶檢查。SSL提供認證和加密處理及摘要功能。

五、HTTP + 加密 + 認證 + 完整性保護 = HTTPS

六、共享祕鑰加密（加密和解密用同一把祕鑰）

七、公開祕鑰加密（發送祕文的一方利用對方的公開祕鑰進行加密處理，對方收到被加密的信息後，利用本身的私有祕鑰進行解密）

八、HTTPS採用混合加密機制（在交換祕鑰環節使用公開祕鑰加密方式，以後的通訊交換報文階段則使用共享祕鑰加密方式）

九、數字證書的業務流程：首先，服務器的運營人員向數字證書認證機構提出公開祕鑰的申請；數字證書機構在判明提出申請者的身份以後，會對已申請的公開祕鑰作數字簽名；而後，分配這個已經簽名的公開祕鑰，並將該公開祕鑰放入公鑰證書後綁定在一塊兒；服務器會將這份公鑰證書發送給客戶端，以進行公開祕鑰加密方式通訊；客戶端可以使用數字證書認證機構頒發的公開祕鑰，對那張證書上的數字簽名進行驗證，認證經過，證實服務器的公開祕鑰是值得信賴的。

 

第八章 確認訪問用戶身份的認證

一、認證，只有登錄者本人才知道的信息

1 密碼：只有本人知道的字符串信息
2 動態令牌：僅限本人持有的設備內顯示的一次性密碼
3 數字證書：僅限本人（終端）持有的信息
4 生物認證： 指紋或者虹膜等本人的生理信息
5 IC卡等：僅限本人持有的信息

二、HTTP/1.1使用的認證方式

BASIC認證（基本認證，明文）
DIGEST認證（摘要認證）
SSL客戶端認證
FormBase認證（基於表單認證）

三、基於表單驗證，會涉及Session管理及Cookie應用

 

第九章 基於HTTP的功能追加協議

一、消除HTTP瓶頸的SPDY，旨在解決HTTP的性能瓶頸，縮短Web頁面的加載時間

二、解決瓶頸的方法

1 Ajax 異步JS達到局部刷新，傳輸數據變少
2 Comet 一旦服務器有內容更新了，Comet不會讓請求等待，直接返回響應，若是沒有更新，Comet會將響應置於掛起狀態。這是一種延遲應答，模擬實現服務器端向客戶端推送的功能。

三、SPDY沒有徹底改寫HTTP，而是在TCP/IP的應用層與運輸層之間經過新加會話層的形式運做。同時。考慮到安全性，規定通訊中使用SSL。使用SPDY得到如下功能：

多路複用，單一TCP鏈接，能夠無限制處理多個HTTP請求
賦予請求優先級
壓縮HTTP首部
推送功能，支持服務器主動向客戶端推進數據的功能
服務器提示功能，服務器能夠主動提示客戶端請求所需的資源，在資源已緩存等狀況下，能夠避免發送沒必要要的請求

四、使用瀏覽器進行雙全工通訊的WebSocket，WebSocket是創建在HTTP基礎上的協議，所以鏈接的發起方還是客戶端，一旦創建通訊鏈接，不論服務器或者客戶端，任意一方均可直接向對方發送報文。（客戶端發送HTTP鏈接握手請求，在Upgrade字段設置爲WebSocket協議，通知服務器更新鏈接協議）

五、期盼已久的HTTP/2.0（7項技術討論）

1 多路複用
2 TLS義務化
3 協商
4 客戶端拉拽 服務端推送
5 壓縮
6 流量控制
7 WebSocket

 

第十章 構建Web內容的技術

一、HTML

二、CGI 指Web服務器在接收到客戶端發送來的請求後轉給程序的一組機制。在CGI的做用下，程序會對請求內容做出相應的動做。

 

第十一章 Web的攻擊技術

一、爲服務器爲目標的主動攻擊，指攻擊者經過直接訪問Web應用，把攻擊代碼傳入的攻擊方式。

典型的攻擊方式有，SQL注入攻擊和OS命令注入攻擊

二、以服務器爲目標的被動攻擊，指利用圈套策略執行攻擊代碼的攻擊模式，在被攻擊工程中，攻擊者不直接對目標Web應用訪問發起攻擊。

典型的攻擊方式有，跨站腳本攻擊和跨站請求僞造