一、简单的HTTP协议
(一) HTTP 特点
(二) HTTP 方法
二、HTTP 报文内的 HTTP 信息
HTTP 报文大致可分为报文首部和报文主体两块。两者由最初出现的 空行(CR+LF)来划分。通常,并不一定要有报文主体。
(一) 请求报文
请求报文是由请求方法、请求 URI、协议版本、可选的请求首部字段和内容实体构成的。
(二) 响应报文
响应报文由协议版本、状态码、原因短语、可选的响应首部字段以及实体主体构成。
(三) 编码提升传输速率
(四) 发送多种数据的多部分对象集合
(五) 获取部分内容的范围请求
(六) 内容协商返回最合适的内容
三、HTTP 状态码
转载自精读《图解HTTP》:https://juejin.cn/post/6844903625785868295
四、与 HTTP 协作的 Web 服务器
五、HTTP 首部
(一) HTTP 首部
1. 通用首部
2. 请求首部
3. 响应首部
4. 实体首部
(二) 非 HTTP/1.1 首部字段
在 HTTP 协议通信交互中使用到的首部字段,不限于 RFC2616 中定 义的 47 种首部字段。还有 Cookie、Set-Cookie 和 Content-Disposition 等在其他 RFC 中定义的首部字段,它们的使用频率也很高。 这些非正式的首部字段统一归纳在 RFC4229 HTTP Header Field Registrations 中。
(三) End-to-end 首部和 Hop-by-hop 首部
(四) 为 Cookie 服务的首部字段
- HTTP 是无状态协议,它不对之前发生过的请求和响应的状态进行管理。也就是说,无法根据之前的状态进行本次的请求处理。Cookie 技术通过在请求和响应报文中写入 Cookie 信息来控制客户端的状态。
- Cookie 会根据从服务器端发送的响应报文内的一个叫做 Set-Cookie 的首部字段信息,通知客户端保存 Cookie。
- 当下次客户端再往该服务器 发送请求时,客户端会自动在请求报文中加入 Cookie 值后发送出去。
- 服务器端发现客户端发送过来的 Cookie后,会去检查究竟是从哪一个客户端发来的连接请求,然后对比服务器上的记录,最后得到之前的状态信息。
六、确保 Web 安全的 HTTPS
(一) HTTP 的缺点
(二) HTTPS = HTTP+ 加密 + 认证 + 完整性保护
七、确认访问用户身份的认证
判断访问服务器的使用者的身份。
八、基于 HTTP 的功能追加协议
(一) SPDY
(二) WebSocket
(三) HTTP/2.0
(四) WebDAV
WebDAV是一个可对 Web 服务器上的内容直接进行文件复制、编辑等操作的分布式文件系统。除了创建、删除文件等基本功能,它还具备文件创建者管理、文件编辑过程中禁止其他用户内容覆盖的加锁功能,以及对文件内容修改的版本控制功能。
九、Web 的攻击技术
(一) 因输出值转义不完全引发的安全漏洞
跨站脚本攻击
SQL 注入
(二) 因设置或设计上的缺陷引发的安全漏洞
(三) 因会话管理疏忽引发的安全漏洞
跨站请求伪造
(四) 其他安全漏洞
