接下来继续介绍第四部分:HTTP的追加功能协议和WEB的攻击技术
一.基于HTTP的功能追加协议
1.消除HTTP瓶颈的SPDY
HTTP的瓶颈
- 一条连接上只可发送一个请求
- 请求只能从客户端开始,客户端不可以接受除响应以外的指令
- 请求/响应首部未经压缩就发送。首部信息越多延迟越大
- 发送冗长的首部。每次互相发送相同的首部造成的浪费较多
解决:
--利用 Ajax 实时地从服务器获取内容,有可能会导致大量请求产生。
--一旦服务器端有内容更新了,Comet 不会让请求等待,而是直接给客户端返回响应。这是一种通过延迟应答,模拟实现服务器端向客户端推送(Server Push)的功能。
陆续出现的 Ajax 和 Comet 等提高易用性的技术,一定程度上使 HTTP 得到了改善,但 HTTP 协议本身的限制也令人有些束手无策。为了进行根本性的改善,需要有一些协议层面上的改动。
处于持续开发状态中的 SPDY 协议,正是为了在协议级别消除 HTTP 所遭遇的瓶颈。
2.SPDY的设计与功能
使用SPDY之后,HTTP协议获得以下功能:多路复用流,赋予请求优先级,压缩HTTP首部,推送功能,服务器提示功能。
SPDY 基本上只是将单个域名( IP 地址)的通信多路复用,所以当一个 W eb 网站上使用多个域名下的资源,改善效果就会受到限制。
SPDY 的确是一种可有效消除 HTTP 瓶颈的技术,但很多 W eb 网站存在的问题并非仅仅是由 HTTP 瓶颈所导致。对 W eb 本身的速度提升,还应该从其他可细致钻研的地方入手,比如改善 W eb 内容的编写方式等。
3.WebSocket
利用 Ajax 和 Comet 技术进行通信可以提升 W eb 的浏览速度。但问题在于通信若使用 HTTP 协议,就无法彻底解决瓶颈问题。W ebSocket 网络技术正是为解决这些问题而实现的一套新协议及 API。
**WebSocket协议的特点
- 推送功能
支持由服务器向客户端推送数据的推送功能。这样,服务器可直接发送数据,而不必等待客户端的请求。减少通信量
只要建立起 W ebSocket 连接,就希望一直保持连接状态。和 HTTP 相比,不但每次连接时的总开销减少,而且由于 W ebSocket 的首部信息很小,通信量也相应减少了。
为了实现 W ebSocket 通信,在 HTTP 连接建立之后,需要完成一次“握手”(Handshaking)的步骤。
image.png
image.png
image.png
二. HTTP/2.0
三.web的攻击技术
因输出值转义不完全引发的安全漏洞
跨站脚本攻击
跨站脚本攻击(Cross-Site Scripting,XSS)是指通过存在安全漏洞的W eb 网站注册用户的浏览器内运行非法的 HTML 标签或 JavaScript 进行的一种攻击。动态创建的 HTML 部分有可能隐藏着安全漏洞。
image.pngSQL 注入攻击
SQL 注入(SQL Injection)是指针对 W eb 应用使用的数据库,通过运行非法的 SQL 而产生的攻击。
image.png- OS 命令注入攻击
- HTTP 首部注入攻击
- 邮件首部注入攻击
- 目录遍历攻击
- 远程文件包含漏洞
因设置或设计上的缺陷引发的安全漏洞
- 强制浏览
- 不正确的错误消息处理
- 开放重定向
因会话管理疏忽引发的安全漏洞
- 会话劫持
- 会话固定攻击
跨站点请求伪造
跨站点请求伪造(Cross-Site Request Forgeries,CSRF)攻击是指攻击者通过设置好的陷阱,强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新,属于被动攻击。
image.png
image.png
其他安全漏洞
- 密码破解
- 点击劫持
- DoS 攻击
- 后门程序
