开发者学堂课程【云安全基础课- HTTP 协议基础:HTTP 协议概述(下)】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/496/detail/6647
HTTP协议概述(下)
Cookie:
Cookie 是 W3C 组织提出,最早是网警社区发展的一种机制。目前,Cookie 已经成为标准,主流浏览器都支持 Cookie。
Cookie 是用来弥补 HTTP 协议无状态的不足。服务器端使用 Cookie 向客户端传输数据,客户端保存 Cookie 并把相应信息返回服务端。
Cookie 是大多数 Web 应用程序所依赖的 HTTP 协议的一个关键组成部分,攻击者常常通过它来利用 Web 应用程序中的漏洞。
服务器使用 Cookie 机制向客户端发送数据,客户端保存 Cookie 并将其返回给服务器。
Cookie 一般由一个名/值对构成,但也可包含任何不含空格的字符串。
·如前所述,服务器使用 Set-Cookie 响应消息头发布 Cookie:Set-Cookie:tracking=tl8k7joMx44S2Uu85nSWc
然后,用户的浏览器自动将下面的消息头添加到随后返回给同一服务器的请求中:
Cookie:tracking=tl8k7joMx44S2Uu85nSWc
Cookie 是需要浏览器进行支持的,若浏览器不支持 Cookie 或禁用 Cookie,功能就会消失,不同浏览器保存 Cookie 位置不同。Cookie 不可跨域名,为了安全。
Cookie 也要有编码支持,一般是 Unicode 编码来保存中文,占用4个字符,用 ASCII码保存英文,占用2个字节,也可使用 bit64的编码来保存二进制图片。
Cookie 是有有效期的。Cookie 是可以修改删除的,但是 Cookie 本来不具备这个功能。Cookie 有一定的安全属性,Cookie 中的 source 属性并不对内容加密。
一般操作 Cookie 可以使用 JS 语言操作。
状态码:
服务器端请求处理结果通过状态码来反馈,每条 HTTP 响应消息都必须在第一行包含一个状态码,说明请求的结果。根据代码的每一位数字,可将状态码分为以下5类:
1xx-提供信息。
2xx-请求被成功提交。
3xx-客户端被重定向到其他资源。
4xx-请求包含某种错误。
5xx-服务器执行请求时遇到错误。
2xx 是请求成功的意思,请求的资源被正常请求,服务器端能正常反馈回来。
3xx 中经常看到301、302这两个。301是被请求的资源被永久转移到新的位置。302是请求资源被临时请求访问到了一个重定向到了临时的位置。
4xx 中主要包括语义有误,服务器端不能理解;请求参数可能有误;404是请求失败的意思,请求希望的资源未被发现。
5xx 是服务器遇到未知情况,导致无法处理请求。
HTTPS:
HTTP 使用普通的非加密 TCP 作为其传输机制,处在网络适当位置的攻击者能够截取这个机制。
HTTPS 本质与 HTTP 一样,都属于应用层协议,但 HTTPS 通过安全传输机制-安全套接层(Secure Socket Layer,SSL)-曰专送数据。
这种机制可保护通过网络传送的所有数据的隐秘性与完整性,显著降低非人侵性拦截攻击的可能性。
不管是否使用 SSL 进行传输,HTTP 请求与响应都以完全相同的方式工作。
HTTPS 在传输数据之前需要客户端与服务端将双方的密码信息、协议进行确认,浏览器将自己支持的密码套件规则发送给网站,网站的 HTTP 进行处理从中选出认可的加密规则,将相应的证书返回给浏览器,浏览器通过协商后进行加密提交给浏览器,浏览器进行解密。HTTPS 一般使用的加密算法有:非对称加密算法:ISA、DSA、DSS;对称加密算法:AES、RC4 等;还会用到 Hash 的算法:MD5、SHA1、SH256。
