这是我参与「第五届青训营 」伴学笔记创作活动的第 3 天
第三天学习了web,HTTP,安全相关课程内容,我把我想做笔记的内容做了一些笔记😁。
这次就文字笔记多,敲的代码少了,毕竟是理论课程。
接下来看看我的笔记:
web技术:html http url
http发送请求获取url标识的页面,浏览器解析html显示内容。
web只读时代->web应用->越来越重视敏捷时代
缓存:
- 发起请求->强缓存->协商缓存->200请求
http2 控制流,阻止发送方发送大量数据,可以控制不接受那么多数据。
https是混用对称加密和非对称加密
状态码200 不一定发起了请求的,也可以from disk cache 。
比如css文件强缓存了一年:cache-control: max-age=31536000
静态资源方案:缓存+cdn+文件名hash。
- hash解决更新问题
跨域问题,url默认443端口
单点登录SSO:就是把它登录到更大的站点去,该站点下的子站点都共用这个登录状态。该站点需要重定向回去子站点。
- Stored XSS 基于数据库
- Reflected XSS 基于url
- DOM-based XSS 基于浏览器
- Mutation-based XSS 基于浏览器渲染
CSRF 拿身份骗过服务器
Injection 注入 :
- SQL
- CLI
- OS command
- Server-Side Request Forgery(SSRF原理类似)
SSRF请求用户自定义的callback URL (web server通常有内网访问权限)会造成内网信息泄露。
DoS Denial of Service
导致服务器显著消耗,导致请求挤压,进而雪崩效应。
正则表达式 贪婪模式
ReDoS 基于正则表达式的DoS
Distributed DoS DDoS (大量请求)
中间人攻击(传输层)
svg也要注意XSS
自定义样式
CSRF防御-token
CSRF-iframe 攻击 通过设置服务器X-Frame-Options:DENY/SAMEORIGIN
CSRF防御 SameSite Cookie 限制Cookie能否被第三方携带
Injection防御
- 最小权限原则 禁用sudo||root
- 建立允许名单+过滤 禁用rm
- 对URL类型参数进行协议,域名,ip等限制 禁止访问内网
TLS握手 非对称加密->sessionKey->对称加密
HTTPS完整性:加密信息+加密信息_hash 接收方通过判断hash仪表完整。(这就是跟数字签名(私密)有关了)
SRI ??
冷!!!!!!!冷了一天了~🤔8度!
这里是[可嘉的掘金博客](https://juejin.cn/user/378680749333096),下次见!
