小白小白从不日别的博客

会话管理机制会话管理机制概述：绝大多数web应用程序中，会话管理机制是一个基本的安全组件 会话管理在应用程序执行登录功能时显得特别重要 因为，它可以在用户通过请求提交他们的证书后，持续向应用程序保证任何特定用户身份的真实性 由于会话管理机制所发挥的关键作用，它们成为针对应用程序的恶意攻击的主要目标 若攻击者能够破坏应用程序的会话管理，他就能轻易避开其实施的验证机制，不需用户证书即可伪装成其他应用程序用户 如果攻击者以这种方式公婆一个管理用户，那么他就能控制整个应用程序

Web安全攻击概述Web应用的概念：Web应用是由动态脚本、编译过的代码等组合而成 它通常架设在Web服务器上，用户在Web浏览器上发送请求 这些请求使用HTTP协议，由Web应用和企业后台的数据库及其他动态内容通信Web应用的三层架构：典型的Web应用通常是标准的三层架构模型：产生问题大部分会发生在哪里？大多在Web层以及业务逻辑层的中间。因为Web层是用来发起HTTP协议的，一旦我们的Web安全出现了漏洞，那就会在发起HTTP请求的过...

期盼已久的HTTP2.0HTTP2.0性能增强的核心：二进制分帧HTTP2.0首部压缩：HTTP2.0多路复用 ：单链接多资源的优势：可以减少服务链接压力，内存占用少了，链接吞吐量大了 由于TCP链接减少而使网络拥塞状况得以改观 慢启动时间减少，拥塞和丢包恢复速度更快并行双向字节流的请求和响应：并行双向字节流的请求和响应：并行交错的地发送请求，请求之间互不影响 并行交错地发送响应，响应之间互不影响 ...

HTTP协议的瓶颈影响HTTP网络请求的因素：带宽延迟HTTP协议的瓶颈：一条连接上只可发送一个请求 请求只能从客户端开始。客户端不可以接受除响应以外的指令 请求/响应头部不经压缩就发送 每次互相发送相同的头部造成的浪费很多 非强制压缩发送WebSocket与HTTP非持久化的HTTP ：WebSocket的握手：服务器返回：AJAX轮询：每隔一段时间就会重新发起请求去询问服务器，有...

HTTPS对性能的影响HTTPS对性能的影响：协议交互所增加的网络RTTRTT(Round-TripTime):往返时延，在计算机网络中它也是一个重要的性能指标，它表示从发送端发送数据开始，到发送端收到来自接收端的确认（接收端收到数据后便立即发送确认），总共经历的时延(Round-TripTime)加解密相关的计算耗时网络耗时：RTT/HTTP所带来的网络耗时：HTTPS所带来的网络耗时：注：OCSP--在线证书状态集...

趣味HTTP和HTTPSHTTP协议位于应用层，其完全是以明文的方式在展现，也就相当于在网络上裸奔，这能安全嘛加密分为两种，一是对称加密，二是非对称加密对称加密：也叫做密钥加密，就是指加密和解密都是使用的一个相同的密钥非对称加密：也叫公钥加密，也就是指加密和解密使用的不是同一个密匙HTTPS协议概述HTTPS可以认为是HTTP+TLSTLS是传输层加密协议，它的前身是SSL协议TLS位于传输层和应用层之间TLS实际上就是TCP协议上建立了一个加密...

HTTP请求服务器的简单实现

HTTP内容协商机制

HTTP缓存HTTP缓存头部字段：a.Cache-Control请求/响应头，缓存控制字段控制HTTP缓存的最高指令，要不要缓存也是它说了算b.Expires响应头，代表资源过期时间，由服务器返回提供，是http1.0的属性，在与max-age共存的情况下，优先级要低c.Last-Modified响应头，资源最新修改时间，由服务器告诉浏览器d.if-Modified-Since请求头，资源最新修改时间，有浏览器告诉服务器，和Last-Modif...

长连接与短连接

字符集与编码常见编码规范：编码解码：解码：一串二进制字符数，通过某种编码方式转换成字符的过程编码：一串已经解码后的字符，通过某种编码方式重新转换成二进制字符乱码产生的原因：编码和解码使用的编码方式不一致或者编码的时候，它的字库表里不包含相应字符所导致的URL的编码与解码:URL是采用ASCII字符集进行编码的，因此如果URL中含有非ASCII字符集中的字符，则需要对其进行编码URL中的一些保留字符，如“&”表示参数分隔符，如果想要在URL中使用这.

CookieCookie实际上是一小段的文本信息。客户端请求服务器，如果服务器需要记录该用户的状态，就向客户端浏览器颁发一个Cookie客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时，浏览器就把请求到的网址连同该Cookie一同提交给服务器。服务器检查该Cookie，以此来辨认用户状态Cookie的工作原理：SessionSession是另一种记录客户状态的机制，保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息已某种形式...

HTTP/1.1常用方法a.GETGET方法用来请求访问已被URL识别的资源指定的资源经服务器端解析后返回响应的内容GET方法也可以用来提交表单和其他数据例如：http://localhost/login.php?username=xxx&&password=147895从上面的URL请求中，很容易就可以辨认出表单提交的内容b.POSTPOST方法与GET功能类似，一般用来传输实体的主体POST方法的主要目的不是获取响应主体的内容.

HTTP协议的特点：1.支持客户/服务器模式客户/服务器模式工作方式：由客户端向服务器发出请求，服务器端相应请求，并进行相应服务2.简单快速客户向服务器请求服务时，只需传送请求方法和路径请求方法常用的有GET、HEAD、POST，每种方法规定了客户与服务器联系的类型不同由于HTTP协议简单，使得HTTP服务器的程序规模小，因而通信速度很快3.灵活HTTP允许传输任意类型的数据对象正在传输的类型由Content-Type(Content-Type是HTTP包中用

定义：超文本传输协议(HTTP)是一种通信协议，允许将超文本标记语言(HTML)文档从Web服务器传送到客户端的浏览器HTTP是一个属于应用层的面向对象的协议，由于其简洁、快速的方式，适用于分布式超媒体信息系统。Web与HTTP：WEB是一种基于超文本和HTTP的、全球性的、动态交互的、跨平台的分布式图形信息系统 建立在Internet上的一种网路服务，为浏览者在Internet上查找和浏览信息提供了图形化的、易于访问的直观界面HTTP的前世今生：...