《(9.1)--11:第九章WEB安全基础.pdf》由会员分享,可在线阅读,更多相关《(9.1)--11:第九章WEB安全基础.pdf(38页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第九章WEB安全基础知识点一:WEB基础知识点二:HTTP会话管理知识点三:WEB编程环境知识点四:JavaScript实践知识点一:WEB基础HTTP协议1超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。通过HTTP或者HTTPS协议请求的资源由统一资源标示符(UniformResource Identifiers)(或者,更准确一些,URLs)来标识。关于HTTP协议的详细内容请参考RFC2616。HTTP协议采用了请
2、求/响应模型。客户端向服务器发送一个请求,请求头包含请求的方法、URL、协议版本、以及包含请求修饰符、客户信息和内容的类似于MIME的消息结构。服务器以一个状态行作为响应,响应的内容包括消息协议的版本,成功或者错误编码加上包含服务器信息、实体元信息以及可能的实体内容。HTTP协议1“超文本”就是指页面内可以包含图片、链接,甚至音乐、程序等非文字元素。超文本标记语言Html的结构包括“头”部分(英语:Head)、和“主体”部分(英语:Body),其中“头”部提供关于网页的信息,“主体”部分提供网页的具体内容。一个网站对应多个HTML文件,超文本标记语言文件以.htm(磁盘操作系统DOS限制的外语
3、缩写)为扩展名或.html(外语缩写)为扩展名。可以使用任何能够生成TXT类型源文件的文本编辑器来产生超文本标记语言文件,只用修改文件后缀即可。HTML2标准的超文本标记语言文件都具有一个基本的整体结构标记一般都是成对出现(部分标记除外例如:),即超文本标记语言文件的开头与结尾标志和超文本标记语言的头部与实体两大部分。有三个双标记符用于页面整体结构的确认。标记符,说明该文件是用超文本标记语言(本标签的中文全称)来描述的,它是文件的开头;而,则表示该文件的结尾,它们是超文本标记语言文件的开始标记和结尾标记。这2个标记符分别表示头部信息的开始和结尾。头部中包含的标记是页面的标题、序言、说明等内容,
4、它本身不作为内容来显示,但影响网页显示的效果。头部中最常用的标记符是标题标记符和meta标记符,其中标题标记符用于定义网页的标题,它的内容显示在网页窗口的标题栏中,网页标题可被浏览器用作书签和收藏清单。网页中显示的实际内容均包含在这2个正文标记符之间。正文标记符又称为实体标记。JavaScript一种直译式脚本语言,它的解释器被称为JavaScript引擎,为浏览器的一部分,广泛用于客户端的脚本语言,最早是在HTML(标准通用标记语言下的一个应用)网页上使用,用来给HTML网页增加动态功能。JavaScript是一种属于网络的脚本语言,已经被广泛用于Web应用开发,常用来为网页添加各式各样的动
5、态功能,为用户提供更流畅美观的浏览效果。通常JavaScript脚本是通过嵌入在HTML中来实现自身的功能的。Javascript3日常用途嵌入动态文本于HTML页面、对浏览器事件做出响应、读写HTML元素、在数据被提交到服务器之前验证数据、检测访客的浏览器信息、控制cookies,包括创建和修改等。Javascript脚本语言同其他语言一样有它自身的基本数据类型,表达式和算术运算符及程序的基本程序框架。Javascript提供了四种基本的数据类型和两种特殊数据类型用来处理数据和文字。而变量提供存放信息的地方,表达式则可以完成较复杂的信息处理。示例如下Javascript简单示例alert(第
6、一个javascript);统一资源标示符是指HTTPHTMLURLBODYABCD提交单选题1分知识点二:HTTP会话管理在计算机术语中,会话是指一个终端用户与交互系统进行通讯的过程,比如从输入账户密码进入操作系统到退出操作系统就是一个会话过程。会话较多用于网络上,TCP的三次握手就创建了一个会话,TCP关闭连接就是关闭会话。用平述的语言可以解释为:你拔打你女友的电话号码,你女友接听,然后一翻“亲爱的”,直到任何一方挂掉电话,这个过程就是一个会话。你挑逗一只小狗,它跟你互动,也是会话;它不鸟你,那就不形成会话。HTTP会话管理无状态是指,当浏览器发送请求给服务器的时候,服务器响应,但是当同一
7、个浏览器再发送请求给服务器的时候,他不知道你就是刚才那个浏览器。简单地说,就是服务器不会去记得你,所以是无状态协议。本质是,HTTP是短连接的,请求响应后,断开了TCP连接,下一次连接与上一次无关。HTTP协议属于无状态的通信协议为了识别不同的请求是否来自同一客户,需要引用HTTP会话机制即:多次HTTP连接间维护用户与同一用户发出的不同请求之间关联的情况称为维护一个会话(session)。通过会话管理对会话进行创建、信息存储、关闭等。Cookie与session是与HTTP会话相关的两个内容,其中Cookie存在在浏览器,session存储在服务器中。Cookies是服务器在本地机器上存储的
8、小段文本并随每一个请求发送至同一个服务器。网络服务器用HTTP头向客户端发送cookies,在客户终端,浏览器解析这些cookies并将它们保存为一个本地文件,它会自动将同一服务器的任何请求缚上这些cookies。HTTP会话的实现机制它是在用户端的会话状态的存贮机制,需要用户打开客户端的cookie支持。cookie的作用是为了解决HTTP协议无状态的缺陷所作的努力。正统的cookie分发是通过扩展HTTP协议来实现的,服务器通过在HTTP的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的cookie。然而纯粹的客户端脚本如JavaScript也可以生成cookie。而cookie的
9、使用是由浏览器按照一定的原则在后台自动发送给服务器的。浏览器检查所有存储的cookie,如果某个cookie所声明的作用范围大于等于将要请求的资源所在的位置,则把该cookie附在请求资源的HTTP请求头上发送给服务器。具体来说,cookie机制采用的是在客户端保持状态的方案cookie的内容主要包括名字,值,过期时间,路径和域。路径与域一起构成cookie的作用范围。若不设置过期时间,则表示这个cookie的生命期为浏览器会话期间,关闭浏览器窗口,cookie就消失。这种生命期为浏览器会话期的cookie被称为会话cookie。会话cookie一般不存储在硬盘上而是保存在内存里,当然这种行为
10、并不是规范规定的。若设置了过期时间,浏览器就会把cookie保存到硬盘上,关闭后再次打开浏览器,这些cookie仍然有效直到超过设定的过期时间。存储在硬盘上的cookie可以在不同的浏览器进程间共享,比如两个IE窗口。而对于保存在内存里的cookie,不同的浏览器有不同的处理方式。服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。当程序需要为某个客户端的请求创建一个session时,服务器首先检查这个客户端的请求里是否已包含了一个session标识(称为session id),如果已包含则说明以前已经为此客户端创建过session,服务器就按照session id把这个ses
11、sion检索出来使用(检索不到,会新建一个),如果客户端请求不包含session id,则为此客户端创建一个session并且生成一个与此session相关联的session id。session id的值应该是一个既不会重复,又不容易被找到规律以仿造的字符串,这个session id将被在本次响应中返回给客户端保存。Session机制是一种服务器端的机制这样在交互过程中浏览器可以自动的按照规则把这个标识发挥给服务器。一般这个cookie的名字都是类似于SEEESIONID。所以,一种常见的HTTP会话管理就是,服务器端通过session来维护客户端的会话状态,而在客户端通过cookie来存储
12、当前会话的session id。还有一种技术叫做表单隐藏字段。就是服务器会自动修改表单,添加一个隐藏字段,以便在表单提交时能够把session id传递回服务器。URL重写:但cookie可以被人为的禁止,必须有其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。经常被使用的一种技术叫做URL重写,就是把session id直接附加在URL路径的后面。保存这个session id的方式可以采用cookie有关cookie说法正确的是存储在服务器端不存在失效期可以被人为禁止不同浏览器之间不能共享ABCD提交单选题1分知识点三:WEB编程环境WEB编程语言分为WEB静态语
13、言和WEB动态语言,WEB静态语言就是通常所见到的超文本标记语言(标准通用标记语言下的一个应用),WEB动态语言主要是ASP、PHP、JAVASCRIPT、JAVA、CGI等计算机脚本语言编写出来的执行灵活的互联网网页程序。PHPnow是Win32下绿色免费的Apache+PHP+MySQL 环境套件包。简易安装、快速搭建支持虚拟主机的 PHP 环境。附带 PnCp.cmd控制面板,帮助你快速配置你的套件,使用非常方便。PHPnow 是绿色的,解压后执行 Setup.cmd 初始化,即可得到一个PHP+MySQL 环境。然后就可以直接安装 Discuz!,PHPWind,DeDe,WordPr
14、ess 等程序。WEB服务环境安装1解压后执行 Setup.cmd 初始化,即可得到一个 PHP+MySQL 环境。在windows7及以上版本安装的时候,会遭遇管理员权限、路径包含非英文字符的问题,安装所注意的细节如下:(1)解压phpnow后(切近路径不能出现中文,有可能导致以后服务无法正常启动),点setup.cmd即可进入安装界面,之后,选择init.cmd:PHPnow 是绿色的然而,很可能无法安装成功提示apache_cn服务安装失败。这个是因为需要管理员权限方可完成服务的安装。(2)解决管理员权限问题的做法是:到c:windowssystem32中找到cmd.exe,右键,以管理
15、员方式运行;启动后,通过dos对话框切入phpnow的安装路径:安装完毕,将看到phpnow的默认界面。此时,安装完后目录如下:然后运行init.cmd安装完后目录如下点击PnCp.cmd,如下选择序号20,即可启动PHPnow打开网页,访问http:/127.0.0.1如下:点击phpMyAdmin将进入数据库管理界面,可以自行创建数据库、表以及录入数据等:知识点四:JavaScript实践使用工具Dreamweaver,来编辑产生一个静态网页,该网页命名为js.htm,存储到PHPnowhtdocs下。在网页js.htm中,进行如下四个代码的编辑和运行,可以看到Javascript对浏览器
16、中网页内各元素的读写功能。document.write()函数Javascript简单示例for(i=1;i=100;i+)num=Math.floor(Math.random()*100);/0-99之间的随机数document.write(num,);单击按钮后调用函数Javascript简单示例function func1()alert(按钮单击后调用的函数1!);function func2()alert(按钮单击后调用的函数2!);使用对象:同样使用function。Javascript简单示例function Student(name,school,grade)this.name=
17、name;/注意这里要用thisthis.school=school;this.grade=grade;hui=new Student(noting_gonna,XX学校,小学二年级);/使用with可以省略对象名with(hui)document.write(name+:+school+,+grade+);if(window.hui)document.write(hui这个对象存在);elsedocument.write(hui这个对象不存在);获取input(text)中的内容:name.valueJavascript简单示例function getLoginMsg()/以下也达到了省略对象名称的作用loginMsg=document.loginForm;alert(账号:+loginMsg.userID.value+n+密码:+loginMsg.password.value);function setLoginMsg(Object)alert(Object.id);账号:密码:记住密码