HTTP学习汇总概览

一,各版本http协议的标准描述

        http1.0 - 1996年5月公布,记载于RFC1945

            地址:https://www.ietf.org/rfc/rfc1945.txt

        http1.1 - 1997年1月公布,当前主流的http协议版本,最新版本为修订版RFC2616(最初版为RFC2068)

            地址:https://www.ietf.org/rfc/rfc2616.txt

        http2.0 - 暂未发布,推行需要时间


二,HTTP1.0和HTTP1.1的一些区别

        2.1,缓存处理:在HTTP1.0中主要使用header里的If-Modified-Since,Expires来作为缓存判断的标准,HTTP1.1则引入了更多的缓存控制策略例如Entity tag,If-Unmodified-Since, If-Match, If-None-Match等更多可供选择的缓存头来控制缓存策略。

        2.2,长连接:HTTP 1.1支持长连接(PersistentConnection)和请求的流水线(Pipelining)处理,在一个TCP连接上可以传输多个HTTP请求和响应,减少了建立和关闭连接的消耗和延迟,在HTTP1.1中默认开启Connection: keep-alive,一定程度上弥补了HTTP1.0每次请求都要创建连接的缺点。

        2.3,Host头处理,在HTTP1.0中认为每台服务器都绑定一个唯一的IP地址,因此,请求消息中的URL并没有传递主机名(hostname)。但随着虚拟主机技术的发展,在一台物理服务器上可以存在多个虚拟主机(Multi-homed Web Servers),并且它们共享一个IP地址。HTTP1.1的请求消息和响应消息都应支持Host头域,且请求消息中如果没有Host头域会报告一个错误(400 Bad Request)。

        2.4,错误通知的管理,在HTTP1.1中新增了24个错误状态响应码,如409(Conflict)表示请求的资源与资源的当前状态发生冲突;410(Gone)表示服务器上的某个资源被永久性的删除。

三,对于http需要了解的知识点

        3.1,http常用状态码的含义?

        3.2,http握手机制

        3.3,四层网络模型,五层网络模型和七层网络模型

        3.4,http报文信息解读

        3.5,DNS协议及DNS查找顺序

四,对于信息安全需要了解的内容

        4.1,xss攻击

                    1)类型:反射型,存储型,dom型,还有两种不常见的类型——突变型(类似dom型)和uxss(通用型xss,一般是基于浏览器或浏览器拓展插件的缺陷而发起的xss攻击)

                   2)上述xss攻击原理:

       4.2,csrf攻击


                    1)原理:

                            合法用户A在合法流程下登录了目标网站www.dev.xxx.com;

                            登录成功后,目标网站服务器为了标识用户A,给A返回了cookie以及sessionId数据;

                            在用户会话id未失效前(用户A在未关闭浏览器且未登出的状态下,或是用户在关闭浏览器的很短时间内【此时用户会话id不一定失效】)访问了非法用户B构造的钓鱼网站,致使非法用户B经过某种手段拿到了用户A的合法访问信息-sessionId;

                            非法用户B在该sessionId没失效之前,借助该会话信息访问目标网站,由于服务器无法确认“对面是人是狗”,所以csrf攻击到此成功实施;

                    2)防范:

                            使用https协议保证相对数据通信安全;

                            服务器返回httpOnly标识,相对状态下禁止js访问cookie;

你可能感兴趣的:(HTTP学习汇总概览)