讀書筆記《圖解HTTP》:構建Web內容的技術、Web的攻擊技術
1、HTML
1.1 Web頁面幾乎全由HTML構建
HTML是為了發送Web上的超文本而開發的標記語言。
超文本是一種文檔系統,可將文檔中任意位置的信息與其他信息(文本或圖片)建立關聯,即超鏈接文本。
標記語言是指通過在文檔的某部分穿插特別的字元串標籤,用來修飾文檔的語言。
由HTML構成的文檔經過瀏覽器的解析、渲染後,呈現出來的結果就是Web頁面。
1.2 設計應用CSS
CSS的理念就是讓文檔的結構和設計分離,達到解耦的目的。
2、動態HTML
2.1 讓Web頁面動起來的動態HTML
所謂動態HTML,是指使用客戶端腳本語言將靜態的HTML內容變成動態的技術的總稱。
2.2 更易控制HTML的DOM
通過調用JS等腳本語言對DOM的操作,可以以更為簡單的方式控制HTML的改變。
3、Web應用
3.1 通過Web提供功能的Web應用
原本應用HTTP協議的Web的機制就是對客戶端發來的請求,返回事前準備好的內容,現在更需要引入由程序創建HTML內容的做法。
類似這種由程序創建的內容稱為動態內容。而事先準備好的內容稱為靜態內容。Web應用則作用於動態內容上。
3.2 與Web伺服器及程序協作的CGI
CGI(通用網關介面)是指Web伺服器在接收到客戶端發送過來的請求後轉發給程序的一組機制。在CGI的作用下,程序會對請求內容作出相應的動作,比如創建HTML等動態內容。
3.3 因Java而普及的Servlet
Servlet是一種能在伺服器上創建動態內容的程序。Servlet是Java語言實現的一個介面,屬於面向企業級Java的一部分。
Web的攻擊技術
互聯網上的攻擊大都將Web站點作為目標
1、針對Web的攻擊技術
應用HTTP協議的伺服器和客戶端,以及運行在伺服器上的Web應用等資源才是攻擊目標。
1.1 HTTP不具備必要的安全功能
整體上看,HTTP就是一個通用的單純協議機制。
1.2 在客戶端即可篡改請求
在HTTP請求報文被載入攻擊代碼,就能發起對Web應用的攻擊。