黑客防范手册读书笔记

第12章 超文本协议
http过程
1、通过TCP/80端口,HTTP客户端连接到服务器;
2、客户端向服务器发送一个初始请求,请求包含一个http请求报头:GET/
3、服务器响应事物状态、数据类型和数据(index.html):
HTTP1.1 200 ok
Content-type:text/html
Welcome to our site…..,etc,
4、通过POST方式,客户端访问web站点上一个需要用户输入的表单,表单内容为:

5、客户端提供的表单确认输入以一系统名称/值,用URL或者MIME形式报告给服务器;
6、这些值传送给WEB服务器脚本,脚本解析出值后传送给后台数据库应用程序,作为一系列SQL更新。

HTTP头字段
开始行(请求或响应)
Request Method : 指定客户请求的HTTP方法(GET、POST等)
Request URI : 指定客户请求的统一资源定位符
HTTP-Version : 指定客户或服务器支持的HTTP版本(HTTP1.0或HTTP1.1)
Status Code : 服务器响应码(仅针对响应)

General Header(通用头)
Cache-Control : 缓存指令(如no-cache、no-store、max-age、public、private等)控制需要缓存的内容、有效期限、缓存重确认/重加

载以及缓存扩充

Request Hearder(请求头)
Authrization : 用于用户代理和服务器的鉴别。授权的字段包括代表用户代理的鉴别信任状
From : 包括控制用户代理的用户的电子邮件地址

Response Header(响应头)
Location : 通常重定向接收者到一个位置,而不是完成请求和新资源确认的Request-URI
Proxy-Authenticate:代理鉴别和WWW鉴别响应头字段必须包括407或404响应。字段的值包括一个指明鉴别方案的询问
Public : 列出服务器支持的方法集合
Server : 包含处理请求的原始服务器所有软件的有关信息。该字段可以包含多个产品标识

Entiy Header(实体头)
Allow : Allow实体头字段列出了资源所支持的方法集合,该资源有Request-URI所指定
Content-Base : 用来为解析出来的相关URL指定基本的URI
Content-Type : 指出发送给接收方的实体内容的媒体类型,一般是MIME内容,如text/html、image/jpeg、application/xml等
Expries : 提供一个过期日期或者时间,控制相关响应数据的缓存

HTTP协议方法
GET :从HTTP服务器换取数据
HEAD,OPTIONS : HEAD只获取HTTP头数据,OPTIONS获取选项数据
POST,PUT : 用来请求创建或者修改HTTP资源(有点像Requiest-URI中指出的);POST和PUT的合理使用包括发布消息或给一个进程或后端数

据库提供输入
DELETE : DELETE请求删除Request-URI中指定的资源,返回状态码标示删除成功
TRACE : TRACE方法用于检测和故障诊断,通常给客户端循环返回一个请求

系统加固参考文献
Apache http://httpd.apache.org/docs-2.0/misc/security_tips.html

http://httpd.apache.org/docs/2.2/misc/security_tips.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注