校驗 方式 會話層 ic卡 自己 獲得 2.0 sock 申請者

第七章 確保Web安全的HTTPS 1、HTTP的不足

通信使用明文（不加密），內容可能被監聽
不驗證通信方的身份，因此可能遭遇偽裝
無法驗證報文的完整性，所以有可能已遭篡改

2、通信加密

1 通信的加密
2 內容的加密

3、通過查看對手的證書（SSL支持，第三方提供），來驗證通信方 4、HTTP常用MD5和SHA-1等散列值校驗方法來確認文件的數字簽名，但是這需要用戶親自檢查，瀏覽器無法自動幫用戶檢查。SSL提供認證和加密處理及摘要功能。 5、HTTP + 加密 + 認證 + 完整性保護 = HTTPS 6、共享秘鑰加密（加密和解密用同一把秘鑰） 7、公開秘鑰加密（發送秘文的一方利用對方的公開秘鑰進行加密處理，對方收到被加密的信息後，利用自己的私有秘鑰進行解密） 8、HTTPS采用混合加密機制（在交換秘鑰環節使用公開秘鑰加密方式，之後的通信交換報文階段則使用共享秘鑰加密方式） 9、數字證書的業務流程：首先，服務器的運營人員向數字證書認證機構提出公開秘鑰的申請；數字證書機構在判明提出申請者的身份之後，會對已申請的公開秘鑰做數字簽名；然後，分配這個已經簽名的公開秘鑰，並將該公開秘鑰放入公鑰證書後綁定在一起；服務器會將這份公鑰證書發送給客戶端，以進行公開秘鑰加密方式通信；客戶端可使用數字證書認證機構頒發的公開秘鑰，對那張證書上的數字簽名進行驗證，認證通過，證明服務器的公開秘鑰是值得信賴的。 第八章 確認訪問用戶身份的認證 1、認證，只有登陸者本人才知道的信息

1 密碼：只有本人知道的字符串信息
2 動態令牌：僅限本人持有的設備內顯示的一次性密碼
3 數字證書：僅限本人（終端）持有的信息
4 生物認證： 指紋或者虹膜等本人的生理信息
5 IC卡等：僅限本人持有的信息

2、HTTP/1.1使用的認證方式

BASIC認證（基本認證，明文）
DIGEST認證（摘要認證）
SSL客戶端認證
FormBase認證（基於表單認證）

3、基於表單驗證，會涉及Session管理及Cookie應用 第九章 基於HTTP的功能追加協議 1、消除HTTP瓶頸的SPDY，旨在解決HTTP的性能瓶頸，縮短Web頁面的加載時間 2、解決瓶頸的方法

1
 
 Ajax 異步JS達到局部刷新，傳輸數據變少
2 Comet 一旦服務器有內容更新了，Comet不會讓請求等待，直接返回響應，如果沒有更新，Comet會將響應置於掛起狀態。這是一種延遲應答，模擬實現服務器端向客戶端推送的功能。

3、SPDY沒有完全改寫HTTP，而是在TCP/IP的應用層與運輸層之間通過新加會話層的形式運作。同時。考慮到安全性，規定通信中使用SSL。使用SPDY獲得以下功能：

多路復用，單一TCP連接，可以無限制處理多個HTTP請求
賦予請求優先級
壓縮HTTP首部
推送功能，支持服務器主動向客戶端推動數據的功能
服務器提示功能，服務器可以主動提示客戶端請求所需的資源，在資源已緩存等情況下，可以避免發送不必要的請求
 

4、使用瀏覽器進行雙全工通信的WebSocket，WebSocket是建立在HTTP基礎上的協議，因此連接的發起方仍是客戶端，一旦建立通信連接，不論服務器或者客戶端，任意一方都可直接向對方發送報文。（客戶端發送HTTP連接握手請求，在Upgrade字段設置為WebSocket協議，通知服務器更新連接協議） 5、期盼已久的HTTP/2.0（7項技術討論）

1 多路復用
2 TLS義務化
3 協商
4 客戶端拉拽 服務端推送
5 壓縮
6 流量控制
7 WebSocket

第十章 構建Web內容的技術 1、HTML 2、CGI 指Web服務器在接收到客戶端發送來的請求後轉給程序的一組機制。在CGI的作用下，程序會對請求內容作出相應的動作。 第十一章 Web的攻擊技術 1、為服務器為目標的主動攻擊，指攻擊者通過直接訪問Web應用，把攻擊代碼傳入的攻擊方式。 典型的攻擊方式有，SQL註入攻擊和OS命令註入攻擊 2、以服務器為目標的被動攻擊，指利用圈套策略執行攻擊代碼的攻擊模式，在被攻擊工程中，攻擊者不直接對目標Web應用訪問發起攻擊。 典型的攻擊方式有，跨站腳本攻擊和跨站請求偽造

圖解HTTP（三）