update HTTP.md
This commit is contained in:
parent
1ca93e8255
commit
11003c11eb
|
@ -28,7 +28,7 @@
|
||||||
* [缓存](#缓存)
|
* [缓存](#缓存)
|
||||||
* [持久连接](#持久连接)
|
* [持久连接](#持久连接)
|
||||||
* [编码](#编码)
|
* [编码](#编码)
|
||||||
* [分块传输](#分块传输)
|
* [分块传输编码](#分块传输编码)
|
||||||
* [多部分对象集合](#多部分对象集合)
|
* [多部分对象集合](#多部分对象集合)
|
||||||
* [范围请求](#范围请求)
|
* [范围请求](#范围请求)
|
||||||
* [内容协商](#内容协商)
|
* [内容协商](#内容协商)
|
||||||
|
@ -172,7 +172,7 @@ DELETE /file.html HTTP/1.1
|
||||||
|
|
||||||
> 要求用隧道协议连接代理
|
> 要求用隧道协议连接代理
|
||||||
|
|
||||||
要求在与代理服务器通信时建立隧道,使用 SSL(Secure Sockets Layer,安全套接层)和 TLS(Transport Layer Security,传输层安全)协议把通信内容加密后经网络隧道传输。
|
要求在与代理服务器通信时建立隧道,使用 SSL(Secure Sockets Layer,安全套接层)和 TLS(Transport Layer Security,传输层安全协议)把通信内容加密后经网络隧道传输。
|
||||||
|
|
||||||
```html
|
```html
|
||||||
CONNECT www.example.com:443 HTTP/1.1
|
CONNECT www.example.com:443 HTTP/1.1
|
||||||
|
@ -430,9 +430,9 @@ Expires 字段也可以用于告知缓存服务器该资源什么时候会过期
|
||||||
|
|
||||||
编码(Encoding)主要是为了对实体进行压缩。常用的编码有:gzip、compress、deflate、identity,其中 identity 表示不执行压缩的编码格式。
|
编码(Encoding)主要是为了对实体进行压缩。常用的编码有:gzip、compress、deflate、identity,其中 identity 表示不执行压缩的编码格式。
|
||||||
|
|
||||||
## 分块传输
|
## 分块传输编码
|
||||||
|
|
||||||
分块传输(Chunked Transfer Coding)可以把数据分割成多块,让浏览器逐步显示页面。
|
分块传输编码(Chunked Transfer Coding)可以把数据分割成多块,让浏览器逐步显示页面。
|
||||||
|
|
||||||
## 多部分对象集合
|
## 多部分对象集合
|
||||||
|
|
||||||
|
@ -505,7 +505,7 @@ Content-Length: 1024
|
||||||
|
|
||||||
### 3. 隧道
|
### 3. 隧道
|
||||||
|
|
||||||
使用 SSL 等加密手段,为客户端和服务器之间建立一条安全的通信线路。
|
使用 SSL 等加密手段,为客户端和服务器之间建立一条安全的通信线路。隧道本身不去解析HTTP请求。
|
||||||
|
|
||||||
# 六、HTTPs
|
# 六、HTTPs
|
||||||
|
|
||||||
|
@ -515,7 +515,7 @@ HTTP 有以下安全性问题:
|
||||||
2. 不验证通信方的身份,通信方的身份有可能遭遇伪装;
|
2. 不验证通信方的身份,通信方的身份有可能遭遇伪装;
|
||||||
3. 无法证明报文的完整性,报文有可能遭篡改。
|
3. 无法证明报文的完整性,报文有可能遭篡改。
|
||||||
|
|
||||||
HTTPs 并不是新协议,而是 HTTP 先和 SSL(Secure Socket Layer)通信,再由 SSL 和 TCP 通信。也就是说使用了隧道进行通信。
|
HTTPs 并不是新协议,而是 HTTP 先和 SSL(Secure Sockets Layer)通信,再由 SSL 和 TCP 通信。也就是说使用了隧道进行通信。
|
||||||
|
|
||||||
通过使用 SSL,HTTPs 具有了加密、认证和完整性保护。
|
通过使用 SSL,HTTPs 具有了加密、认证和完整性保护。
|
||||||
|
|
||||||
|
@ -523,18 +523,18 @@ HTTPs 并不是新协议,而是 HTTP 先和 SSL(Secure Socket Layer)通信
|
||||||
|
|
||||||
## 加密
|
## 加密
|
||||||
|
|
||||||
### 1. 对称密钥
|
### 1. 对称密钥加密
|
||||||
|
|
||||||
(Symmetric-Key Encryption),加密的加密和解密使用同一密钥。
|
对称密钥加密(Symmetric-Key Encryption),加密的加密和解密使用同一密钥。
|
||||||
|
|
||||||
- 优点:运算速度快;
|
- 优点:运算速度快;
|
||||||
- 缺点:密钥容易被获取。
|
- 缺点:密钥容易被获取。
|
||||||
|
|
||||||
<div align="center"> <img src="../pics//scrypt.gif" width=""/> </div><br>
|
<div align="center"> <img src="../pics//scrypt.gif" width=""/> </div><br>
|
||||||
|
|
||||||
### 2. 公开密钥
|
### 2. 公开密钥加密
|
||||||
|
|
||||||
(Public-Key Encryption),使用一对密钥用于加密和解密,分别为公开密钥和私有密钥。公开密钥所有人都可以获得,通信发送方获得接收方的公开密钥之后,就可以使用公开密钥进行加密,接收方收到通信内容后使用私有密钥解密。
|
公开密钥加密(Public-Key Encryption),使用一对密钥用于加密和解密,分别为公开密钥和私有密钥。公开密钥所有人都可以获得,通信发送方获得接收方的公开密钥之后,就可以使用公开密钥进行加密,接收方收到通信内容后使用私有密钥解密。
|
||||||
|
|
||||||
- 优点:更为安全;
|
- 优点:更为安全;
|
||||||
- 缺点:运算速度慢;
|
- 缺点:运算速度慢;
|
||||||
|
@ -580,7 +580,7 @@ SSL 提供报文摘要功能来验证完整性。
|
||||||
|
|
||||||
### 1. 概念
|
### 1. 概念
|
||||||
|
|
||||||
(Cross-Site Scripting, XSS),可以将代码注入到用户浏览的网页上,这种代码包括 HTML 和 JavaScript。利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和 Cookie 等各种内容。
|
跨站脚本攻击(Cross-Site Scripting, XSS),可以将代码注入到用户浏览的网页上,这种代码包括 HTML 和 JavaScript。利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和 Cookie 等各种内容。
|
||||||
|
|
||||||
例如有一个论坛网站,攻击者可以在上面发表以下内容:
|
例如有一个论坛网站,攻击者可以在上面发表以下内容:
|
||||||
|
|
||||||
|
|
Loading…
Reference in New Issue
Block a user