标签: web
-
网络安全 Web术语
1、服务器监听HTTP连接的计算机系统。这种系统通常运行着服务器软件(比如Apache或微软的IIS)来处理这些连接。2、客户端建立到服 ...小执念 发布于 2015-12-7 2 1.1万 最后回复 2018-5-7 12:04 -
网络安全 WEB安全 第二课 Web的简明历史
Web曾遭受过很多次重创,层出不穷的安全问题更是令人瞩目。诚然其中一些问题可以归咎为某个版本的客户端或服务器端的具体实现出了问题,但其中很多是由 ...小执念 发布于 2016-5-22 4 1.3万 最后回复 2018-8-18 12:49 -
网络安全 WEB安全 第四课 对web的分析 之 一切从URL开始
最易辨识的Web标志就是URL(Uniform Resource Locator,统一资源定位器)了,它由一串很简单的文本字符组成。一条格式正确且符合规范的URL必然对应着远程 ...小执念 发布于 2016-5-22 10 1.7万 最后回复 2019-3-13 09:52 -
网络安全 WEB安全 第五课 HTTP协议 之一 HTTP基本语法
我们要讨论的下一个基本概念是超文本传输协议(Hypertext Transfer Protocol,HTTP):它是Web的核心传输机制,也是服务器与客户端之间交换URL引用文档的 ...小执念 发布于 2016-5-26 5 1.4万 最后回复 2018-5-7 20:32 -
网络安全 WEB安全 第五课 HTTP协议 之二 HTTP的请求类型
初始的HTTP/0.9草案里对请求的文档只提供了唯一的方法(或叫“动作verb”):GET。在它之后曾冒出来一批荒谬怪诞的方法提议,像什么SHOWMETHOD、CHECKOU ...小执念 发布于 2016-5-29 2 1.1万 最后回复 2018-5-3 21:27 -
网络安全 WEB安全 第五课 HTTP协议 之三 服务器响应状态码
RFC2616的第10部分列出了将近50种状态码,服务器在返回响应时可以选择其中一种。其中15种属于常用的响应代码,其他的都是用来标识一些特别离奇或完全不 ...小执念 发布于 2016-5-29 2 1.1万 最后回复 2018-5-3 21:10 -
网络安全 WEB安全第五课 HTTP协议 之四 持续会话
最开始的时候,HTTP会话都是单次完结的:每个TCP连接发一次请求,断开,再重复。这需要不断重复进行TCP三步握手的消耗(而且在传统Unix服务器设计模式中 ...小执念 发布于 2016-5-29 3 1.2万 最后回复 2018-5-8 16:03 -
网络安全 WEB安全第五课 HTTP协议 之五 缓存机制
出于性能和带宽的考虑,HTTP客户端和一些中转性质的系统,都会对HTTP响应进行缓存以便重用。在早期互联网时代,这件事看起来还算简单,但随着Web承载的 ...小执念 发布于 2016-5-29 2 8.4K 最后回复 2018-5-5 22:09 -
网络安全 WEB安全第五课 HTTP协议 之六 Cookie语义
HTTP Cookie不属于RFC2616的内容,但它们是Web最重要的协议扩展之一。Cookie机制的使用过程首先是由服务器端返回一个Set-Cookie响应头,把一组组短小而 ...小执念 发布于 2016-5-29 2 1.1万 最后回复 2018-5-7 09:32 -
网络安全 WEB安全第五课 HTTP协议 之七 HTTP认证
按RFC2617原本的设想,HTTP认证方式是专为Web程序量身打造的身份验证机制,但现在却几近绝迹。其中的原因可能是HTTP认证的界面与浏览器程序自身的UI相关 ...小执念 发布于 2016-5-30 4 1.1万 最后回复 2018-5-11 15:53 -
网络安全 WEB安全第五课 HTTP协议 之八 协议级别的加密和客户端证书
写到这里已经很明显了,HTTP会话在网络上进行的所有信息交换,都是明文方式的。在上世纪90年代,这不算啥大问题:没错,明文信息会把你的浏览习惯暴露给 ...小执念 发布于 2016-6-1 4 9.1K 最后回复 2018-5-8 22:52 -
网络安全 WEB安全第六课 HTML语言 之一 HTML文档背后的基本概念
超文本标记语言(Hypertext Markup Language,HTML)是创建在线文档的主要方式。关于HTML语言最早的书面描述出自1991年Tim Berners-Lee在互联网上发表的一 ...小执念 发布于 2016-6-3 4 1.8万 最后回复 2018-5-17 09:04 -
网络安全 WEB安全第六课 HTML语言 之二 理解HTML解析器的行为
上一节里勾画的HTML语法基础,对于理解格式正确的HTML和XHTML文档已经足够了。如果用的是XHTML格式,也没什么值得说道的:因为解析器对错误容忍度极低, ...小执念 发布于 2016-6-4 3 9.7K 最后回复 2018-5-8 12:37 -
网络安全 WEB安全第六课 HTML语言 之三 HTML实体编码
让我们再回到字符编码的话题上来吧。就像开头提过的那样,某些保留字符出现在文本节点和标签值里是不安全的,在XHTML里这些字符会立刻导致语法出错。要 ...小执念 发布于 2016-6-5 3 1万 最后回复 2018-5-14 13:36 -
网络安全 WEB安全第六课 HTML语言 之四 HTTP/HTML交互语义
从前面章节里的内容我们可以知道,HTTP头域可以对整个响应赋予新的含义(Location、Transfer-Encoding等),还可以改变返回内容的呈现(Content-Type、C ...小执念 发布于 2016-6-6 6 1.2万 最后回复 2018-5-13 20:25 -
网络安全 WEB安全第六课 HTML语言 之六 框架
框架(frame)能使HTML文档被内嵌和显示在另一个页面中的一块长方形区域里。现在我们用的浏览器都支持好几种框架标签,但要达到这个效果,最常见的方式就 ...小执念 发布于 2016-6-19 4 8K 最后回复 2018-5-12 18:20 -
网络安全 WEB安全第六课 HTML语言 之七 特定类型的内容包含
除了文档内容无关的链接跳转和页面框架,HTML还能以较轻量的方式包含其他几种预定义的外部内容。1.图片图片文件可以通过标签进行 ...小执念 发布于 2016-6-19 3 1万 最后回复 2018-5-3 12:26 -
网络安全 WEB安全第七课 层叠样式表 之一 CSS基本语法
随着Web技术在20世纪90年代日渐成熟,网站开发者们日益需要找到一种统一又灵活的方法来设计HTML文档的外观;而当时用的一堆随机无序、与浏览器紧密相关 ...小执念 发布于 2016-6-26 2 9.2K 最后回复 2018-5-5 16:58 -
网络安全 WEB安全第七课 层叠样式表 之二 重新同步的风险
CSS语言无疑深受HTML的影响,所以它和大多数其他语言不同的地方在于,符合规范的CSS解析器在碰到语法错误时,仍会继续工作,直到碰到下一对匹配的尖括号 ...小执念 发布于 2016-6-26 4 1万 最后回复 2018-5-3 22:38 -
网络安全 WEB安全第七课 层叠样式表 之三 字符编码
为了在CSS字符串里使用一些保留字符或有问题的字符,CSS提供了一套不太正统的转义处理策略:用一个反斜杠(\)后面跟1〜6位的十六进制数字。例 ...小执念 发布于 2016-6-26 3 1.2万 最后回复 2018-5-3 23:36 -
网络安全 WEB安全第八课 浏览器端脚本 之三 标准对象层级
JavaScript的运行环境都是围绕一个隐含的根对象构建出来的,这个根对象也是JavaScript程序里所有全局变量和函数的默认命名空间。 除了若干JavaScript语言的内 ...小执念 发布于 2016-7-17 3 9.5K 最后回复 2018-5-5 10:28 -
网络安全 WEB安全第八课 浏览器端脚本 之四 脚本字符编码
JavaScript引擎支持好几种常见的反斜杠方式的字符串编码处理,用于转义引号、HTML标记和内嵌在文本里有问题的字符。这些方法包括:a. ...小执念 发布于 2016-8-7 3 9K 最后回复 2018-5-11 14:06 -
网络安全 WEB安全第八课 浏览器端脚本 之五 代码包含模式和嵌入风险
经过前面的讨论,在当前页面的运行环境里执行脚本显然有多种方式。有必要再集中罗列一下几种最常见的方式:1.直接嵌人代码块。...小执念 发布于 2016-8-7 3 1.1万 最后回复 2018-5-12 14:23 -
网络安全 WEB安全第九课 非HTML类型文件 之一 纯文本文件
除了HTML文档,常用的Web浏览器还可以识别和显示其他若干格式的文件;而浏览器支持的文档类型也只会越来越多。 因为某些文档格式具有强大的脚本能力,以及浏 ...小执念 发布于 2016-8-26 3 1万 最后回复 2018-5-4 13:03 -
网络安全 WEB安全第九课 非HTML类型文件 之三 音频与视频
长期以来,IE浏览器器都无法直接播放音频和视频内容,仅有个含糊又无稽的标签,这个标签直到今时今日也只能播放一些简单的MID或WAV文件。由于缺少 ...缘 发布于 2016-8-29 3 1万 最后回复 2018-5-7 20:51 -
网络安全 WEB安全第十课 浏览器插件产生的内容
浏览器插件(plug-in)可谓林林总总,形态各异,最常见的就是用插件在浏览器里显示各种新奇的文件格式,效果类似于显示常规的HTML文件。 浏览器做的只是把收到 ...小执念 发布于 2016-9-8 3 10K 最后回复 2018-5-7 10:24 -
网络安全 WEB安全第十一课 内容隔离逻辑
浏览器通过隔离来自不同源的文件之间的访问来提供各种安全保障。这个预设前提很简单:来自不同源的两个页面之间不应该彼此交互。当然,实际应用上会更复杂,毕竟 ...小执念 发布于 2016-9-17 3 1.1万 最后回复 2018-5-3 22:37 -
网络安全 WEB安全第十二课 源的继承
某些Web应用依赖于像about:、javascript:和data:这样的伪URL来创建无须包含服务器端内容的HTML页面,这些页面的数据完全来自客户端。由于这么做不涉及常规的HTT ...小执念 发布于 2016-9-26 3 1.1万 最后回复 2018-5-7 09:22 -
网络安全 WEB安全第十三课 同源策略之外的世界
同源策略是限制恶意Web应用肆虐的最重要机制,但它也远未达到完美。尽管同源策略的本意是为两个清晰可辨来源的独立内容提供可靠的隔离,但这个任务也往 ...小执念 发布于 2016-10-2 3 1.1万 最后回复 2018-5-8 16:48 -
网络安全 WEB安全第十五课 内容识别机制
到目前为止,我们已经研究了不少浏览器特性,很多特性的本意是好的,但随着技术的成熟,人们日益认识到它们也是短视和非常危险的。现在就让我们再来看点特别的 ...小执念 发布于 2016-10-22 4 1.1万 最后回复 2018-5-17 12:07 -
网络安全 WEB安全第十六课 应对恶意脚本
在前面的内容里,我们讨论了许多浏览器安全机制——现在再回过头来看,可以说这些安全机制几乎都有一个共同的目标:阻止同一个浏览器里恶意内容与其他合法网页 ...小执念 发布于 2016-12-11 3 1.2万 最后回复 2018-5-24 09:57 -
网络安全 WEB安全第十九课 浏览器的安全模型限制框架
尽管对同源策略的各种扩展设计很容易理解,但也往往功亏一篑。因为如果建议的修改不能应用到每个代码路径里,或者有某个特定的浏览器不支持,那就会回退 ...小执念 发布于 2017-1-2 2 1.1万 最后回复 2018-5-3 17:13 -
网络安全 WEB安全第二十课 浏览器其他的一些进展
本章之前讨论的安全特性都是在改变Web应用之间的边界以及网站之间交互的方式。还有另外一些提议的机制无法这么简单归类,但它们本身也是重要以及成熟到值得一提 ...缘 发布于 2017-1-3 4 8.7K 最后回复 2018-5-13 18:10 -
网络安全 WEB安全第六节 HTML语言 之五 超链接和内容包含
HTML中最重要也是和安全最相关的特性之一就是可以链接和内嵌外部内容。除HTTP层面的Location和Refresh两种方式以外,对外部内容的引用有以下几种方式。 ...小执念 发布于 2016-6-14 4 8.3K 最后回复 2018-5-10 11:12
