Web安全防护指南:基础篇
(副标题):无 ;
(作者): 蔡晶晶 张兆心 林天翔 ;
内容简介:
1.2 HTTP协议概述
HTTP是一个应用层的面向对象的协议,由于其简捷、快速的特点,非常适合互联网应用。有了HTTP,用户利用浏览器即可访问不同的应用系统,避免了大量客户端的操作不便的情况。同时,这种由客户端发起请求、服务器根据用户请求进行处理的方式也非常适用于大规模的应用开展。
HTTP协议于1990年提出,经过多年的使用,不断完善和扩展,已逐渐成熟。在C/S模式为主的时代,HTTP支持的B/S(Browser/Server)模式能够从易用性、稳定性等方面满足用户个性化的需求。到目前为止,HTTP已成为互联网中应用最广泛的应用层协议。目前在WWW中使用的是HTTP1.1版本,而且HTTP-NG(Next Generation of HTTP)的建议已经被提出。
HTTP协议的主要特点可概括如下:
1)HTTP协议足够简单,简单到可概括为“用户发起请求→服务器响应→新请求重新发起”,每次请求均为独立行为,这体现了HTTP的无状态特点。
2)HTTP协议支持B/S模式,只要有浏览器即可工作,用户使用简单、易于操作。从某种意义上说,APP也可以被视为某种特定内容的浏览器。
3)HTTP协议灵活性好,可用于数据传输、视频播放、交互等,因此适合快速迭代的互联网应用环境。
对于Web安全本身来说,HTTP是应用层的传输方式,目前大量的安全问题都是HTTP的应用带来的,但HTTP本身并没有太好的防护措施。好比一个门锁不安全,首要解决的是门锁的安全性,而对门锁依托的楼道(即HTTP协议)来说,并没有太多的直接防护措施。
HTTP协议非常严谨及复杂,由于篇幅问题,本书无法全面讲解。以下将针对HTTP协议涉及安全问题的内容进行总结,这些内容可有效帮助读者理解后续各类安全漏洞的形成及利用方法等。
1.2.1 HTTP请求头的内容
一般情况下,用户无法在正常访问时观察到H
目录预览:
Web安全防护指南:基础篇
第1章 Web安全基础
1.1 Web安全的核心问题
1.2 HTTP协议概述
1.3 HTTPS协议的安全性分析
1.4 Web应用中的编码与加密
1.5 本章小结
第二部分 网络攻击的基本防护方法
第2章 XSS攻击
2.1 XSS攻击的原理
2.2 XSS攻击的分类
2.3 XSS攻击的条件
2.4 漏洞测试的思路
2.5 XSS攻击的利用方式
2.6 XSS漏洞的标准防护方法
2.7 本章小结
第3章 请求伪造漏洞与防护
3.1 CSRF攻击
3.2 SSRF攻击
3.3 本章小结
........