| 图解HTTP 笔记(二) | 您所在的位置:网站首页 › 虚拟主机绑定两个域名怎么解决问题 › 图解HTTP 笔记(二) |
图解HTTP 笔记(二)
|
文章目录
与HTTP协作的web服务器用单台虚拟主机实现多个域名通信数据转发程序:代理、网关、隧道代理网关隧道
保存资源的缓存缓存的有效期限客户端的缓存
HTTP首部HTTP报文首部HTTP首部字段HTTP首部字段传递重要信息HTTP首部字段结构HTTP首部字段类型
HTTP通用首部字段Cache-ControlConnectionDataPragmaTrailerTransfer-EncodingUpgradeviaWarning
请求首部字段AuthorizationExpectIf-xxxIf-MatchIf-Modified-SinceIf-RangeMax-ForwardsRefererUser-AgentHostcookieX-Forworded-For
响应首部字段Accept-RangesETagVaryWWW.Authenticateserver
实体首部字段Content-EncodingContent-MD5Content-Range
为cookie服务的首部字段Set-Cookie
其他首部字段X-Frame-OptionsX-XSS-ProtectionDNTP3P(在线隐私偏好平台)
确保web安全的HTTPSHTTP的缺点通信使用明文(不加密),可能会被窃听不验证对方的身份就可能遭遇伪装无法证明报文完整性,可能被纂改。
HTTP+加密+认证+完整性保护=HTTPSHTTPSHTTPS是身披SSL外壳的HTTP相互交换密钥的公开密钥加密技术证明公开密钥正确性的证书HTTP的安全通信机制SSL和TLS
与HTTP协作的web服务器
用单台虚拟主机实现多个域名
虚拟主机:允许一台服务器HTTP服务器搭建多个web站点。在相同IP地址下,在发送HTTP请求时,必须在host首部内完整指定URI。
通信数据转发程序:代理、网关、隧道
这些应用程序可以将请求转发给通信线路上的下一站服务器,并且能接受从那台服务器发送的响应再转发给客户端。 代理 有转发功能的应用程序,位于服务端和客户端之间。代理不改变URI,会将接受到的请求发送给前方持有资源的目标服务器。via首部字段标记经过的主机信息。
请求报文和响应报文均会使用的首部字段  实体首部字段
请求报文和响应报文均使用的首部字段。 指令参数多选,且用逗号分隔。
与max-age指令相同,区别在于s-maxage只适用于供多用户使用的公共缓存服务器。 当使用这个指令时则直接忽略max-age指令的处理。 Cache-Control:min-fresh=60 //过了60秒的资源无法作为响应返回指令要求缓存服务器返回至少还未过指定时间的缓存资源。 Connection Connection:closeHTTP默认连接为持久连接,该指令表示服务端想明确断开连接。 Connection:不再转发的首部字段名表示可控制不在转发给代理的首部字段 Data表明创建HTTP报文的日期和时间 Pragma发送时同时含有下面两个首部字段 Cache-Control:no-cache Pragma:no-cache
事先说明在报文主体后记录了那些首部字段,可应用在分块传输编码。 规定传输报文主体时采用的编码方式,仅对分块传输编码有效。 Upgrade用于检测HTTP协议及其他协议是否可使用更高的版本进行通信。 
Warning
HTTP警告码
附带条件的请求。服务器收到附带条件的请求,只有判断指定条件为真时,才会执行请求。 If-Match
与TRACE方法类似 告知服务器请求的原始资源的URI,知道请求的URI从哪个web页面发起,即当前访问URL的上一个URL。 User-Agent将创建请求的浏览器和用户代理名称等信息传达给服务器。 Host被请求资源的主机和端口号 Host:www.xxxx.com:801 cookie表示请求者身份 X-Forworded-For代表请求端的IP,可多个使用逗号隔开。 响应首部字段 Accept-Ranges Accept-Ranges:bytes Accept-Ranges:none ETag
用于HTTP访问认证,告知客户端适用于访问请求URI所指定资源的认证方案。 server 实体首部字段用于补充内容的更新时间等与实体相关的信息。 Content-Encoding告知服务器端对实体的主体部分选用的内容编码方式 主要内容编码方式有以下四种 gzip compress deflate identify Content-MD5
cookie指某些网站为了辨别用户身份,进行session跟踪而存储在用户本地终端上的数据,而这些数据通常会进行加密处理
属于HTTP响应首部,用于控制网站内容在其他web网站的Frame标签内的显示问题,主要目的是防止点击劫持的攻击。 X-Frame-Options:DENY //拒绝 X-Frame-Options:SAMEORIGIN X-XSS-Protection 属于HTTP响应首部,针对xss的一种对策,用于控制浏览器xss防护机制的开关需要服务器对DNT作对应的支持 X-XSS-Protection:0 //xss过滤设置为无效状态 X-XSS-Protection:1 //xss过滤设置为有效状态 DNT属于HTTP请求首部,do not track DNT:0 同意被追踪 DNT:1 拒绝被追踪 P3P(在线隐私偏好平台) 属于HTTP响应首部可以让个人隐私变为一种仅供程序可理解的形式,以达到保护用户的隐私 确保web安全的HTTPS HTTP的缺点 通信使用明文(不加密),可能会被窃听 HTTP本身不具有加密的功能,无法对请求和响应的内容进行加密。为防止窃听,加密对象有通信的加密和内容的加密。通信的加密:HTTP协议与SSL或TLS组合使用,用SSL建立安全通信线路后,其中与SSL组合使用的HTTP被称为HTTPS或者HTTP over SSL。内容的加密:对HTTP协议传输的内容本身加密,即把HTTP报文进行进行先加密再发送。内容加密的前提是要求客户端和服务器同时具备加密和解密机制。 不验证对方的身份就可能遭遇伪装 HTTP协议不会确认通信方,不管是谁发过来的请求都会返回响应。无法阻止DoS攻击,无法确认正在通信的对方是否具备访问权限等等。SSL不仅提供加密处理,还提供一种证书的手段,来确认通信方。 证书由值得信赖的第三方机构颁发。
无法证明报文完整性,可能被纂改。
所谓完整性即信息的准确度。接受的内容可能有误,无法判断。像这样,请求或响应在传输途中遭攻击者拦截并纂改内容的攻击称为中间人攻击。常用MD5和SHA-1等散列值校验以及确认文件的数字签名方法来防止纂改内容。
HTTP+加密+认证+完整性保护=HTTPS
HTTPS
访问HTTPS通信有效的web网站时,浏览器的地址栏内会出现一个带锁的标记,对HTTPS的显示方式会因浏览器的不同而有所改变。 HTTPS是身披SSL外壳的HTTP HTTPS并非是应用层的一种新协议,只是HTTP通信接口部分用SSL和TLS协议来代替。 其他应用层上的协议均可配合SSL协议来使用。SSL是当今世界上最为广泛的网络安全技术。
相互交换密钥的公开密钥加密技术
SSL采用公开密钥加密的加密处理方式。近代加密方法中加密算法是公开的,而密钥却是保密的。加密和解密均会用到密钥,即只要持有密钥就能解密。加密和解密同用一个密钥的方式称为共享密钥加密,也叫对称密钥加密。密钥发送问题:公开密钥加密。即使一组非对称密钥,一把私有密钥,一把公开密钥。发送密文的一方使用对方的公开密钥进行加密处理,对方收到被加密的信息后,使用自己的私有密钥进行解密。HTTPS采用共享密钥加密和公开密钥加密两者并用的混合加密机制。在交换密钥环节使用公开密钥加密方式,之后的建立通信交换报文阶段使用共享密钥加密方式。公开密钥加密的处理速度比共享密钥加密较慢。
证明公开密钥正确性的证书
为了证明收到的公开密钥就是原本预想的那台服务器发行的公开密钥,可以使用有数字证书认证机构和其相关机关颁发的公开密钥证书。数字认证机构颁发公钥证书的流程: EV SSL证书可证明通信一方的服务器其是否规范,也可确认对方服务器背后运营的企业是否真实存在。拥有EV SSL证书的web网站的浏览器地址栏出的背景色是绿色,而且在地址栏的右侧显示了SSL证书中记录的组织名称以及颁发证书的认证机构的名称。EV SSL证书可防止用户被钓鱼攻击。HTTP中还使用客户端证书,来证明服务器正在通信的对方是预料之内的客户端,作用跟服务器证书相同,但客户端证书只能证明客户端存在,不能证明用户本人的有效性。独立构建的认证机构——自认证机构颁发的自签名证书是无用的,当浏览器访问该服务器时,会显示无法确认连接安全性或该网站的安全证书存在问题。大多数浏览器会预先植入备受信赖的认证机构的证书,但有的浏览器会植入中级认证机构的证书,有的浏览器当作正规证书,有的浏览器当作自签名证书。
HTTP的安全通信机制
HTTP的通信步骤
HTTPS使用SSL和TLS这两个协议。 |
类似于上方的缓存代理,缓存服务器是代理服务器的一种。 缓存服务器可以避免多次从服务器转发资源。
2. 请求首部字段
强ETag不论多么细微的变化都会改变其值,但弱ETag只用于提示资源是否相同。
【本文地址】
公司简介
联系我们