一,各版本http协议的标准描述
http1.0 - 1996年5月公布,记载于RFC1945
地址:https://www.ietf.org/rfc/rfc1945.txt
http1.1 - 1997年1月公布,当前主流的http协议版本,最新版本为修订版RFC2616(最初版为RFC2068)
地址:https://www.ietf.org/rfc/rfc2616.txt
http2.0 - 暂未发布,推行需要时间
二,HTTP1.0和HTTP1.1的一些区别
2.1,缓存处理:在HTTP1.0中主要使用header里的If-Modified-Since,Expires来作为缓存判断的标准,HTTP1.1则引入了更多的缓存控制策略例如Entity tag,If-Unmodified-Since, If-Match, If-None-Match等更多可供选择的缓存头来控制缓存策略。
2.2,长连接:HTTP 1.1支持长连接(PersistentConnection)和请求的流水线(Pipelining)处理,在一个TCP连接上可以传输多个HTTP请求和响应,减少了建立和关闭连接的消耗和延迟,在HTTP1.1中默认开启Connection: keep-alive,一定程度上弥补了HTTP1.0每次请求都要创建连接的缺点。
2.3,Host头处理,在HTTP1.0中认为每台服务器都绑定一个唯一的IP地址,因此,请求消息中的URL并没有传递主机名(hostname)。但随着虚拟主机技术的发展,在一台物理服务器上可以存在多个虚拟主机(Multi-homed Web Servers),并且它们共享一个IP地址。HTTP1.1的请求消息和响应消息都应支持Host头域,且请求消息中如果没有Host头域会报告一个错误(400 Bad Request)。
2.4,错误通知的管理,在HTTP1.1中新增了24个错误状态响应码,如409(Conflict)表示请求的资源与资源的当前状态发生冲突;410(Gone)表示服务器上的某个资源被永久性的删除。
三,对于http需要了解的知识点
3.1,http常用状态码的含义?
3.2,http握手机制
3.3,四层网络模型,五层网络模型和七层网络模型
3.4,http报文信息解读
3.5,DNS协议及DNS查找顺序
四,对于信息安全需要了解的内容
4.1,xss攻击
1)类型:反射型,存储型,dom型,还有两种不常见的类型——突变型(类似dom型)和uxss(通用型xss,一般是基于浏览器或浏览器拓展插件的缺陷而发起的xss攻击)
2)上述xss攻击原理:
4.2,csrf攻击
1)原理:
合法用户A在合法流程下登录了目标网站www.dev.xxx.com;
登录成功后,目标网站服务器为了标识用户A,给A返回了cookie以及sessionId数据;
在用户会话id未失效前(用户A在未关闭浏览器且未登出的状态下,或是用户在关闭浏览器的很短时间内【此时用户会话id不一定失效】)访问了非法用户B构造的钓鱼网站,致使非法用户B经过某种手段拿到了用户A的合法访问信息-sessionId;
非法用户B在该sessionId没失效之前,借助该会话信息访问目标网站,由于服务器无法确认“对面是人是狗”,所以csrf攻击到此成功实施;
2)防范:
使用https协议保证相对数据通信安全;
服务器返回httpOnly标识,相对状态下禁止js访问cookie;
网友评论