讀書筆記——《圖解HTTP》第六章（下）、第七章

大家早上好，今天是感恩節哦~

一路走來，所遇皆溫柔，感謝每一位為我們打開世界的人

第一章：了解web及網絡基礎 ；第二章：簡單的HTTP協議? >>

第三章：HTTP報文內的HTTP信息；第四章：返回結果的HTTP狀態碼? ?>>

第五章：與HTTP協作的web服務器；第六章：HTTP首部（上）

第六章 HTTP首部（下）

響應首部字段

服務器向客戶端響應報文中使用的字段，用于補充附加信息、服務器信息、附加要求等

1.Accept-Ranges ：bytes / none??服務器告知的可處理請求范圍，不能處理則指定為none

2.Age ：數字（單位秒）???回應客戶端經歷的響應時間

3.ETag??將資源以字符串形式做唯一性標識的方式，比如在URI相同的情況下，如何區分中文版和英文版呢，此時用ETag值來指定資源。強ETag：細變化也改變；弱ETag：根本變化改變。

4.Location??告訴客戶端資源位置變更到另一URI

5.Proxy-Authenticate? 類似WWW-Authorization，但是是代理服務器對客戶端的認證信息

6.Retry-After： 數字（秒）???告知客戶端應該在多久之后再次發送請求

7.Server? 告知客戶端當前服務器上安裝的 HTTP 服務器應用程序的信息，包括軟件應用名稱、版本號、啟動可選項等。

8.Vary? 可用于對緩存進行控制

9.WWW-Authenticate? 用于 HTTP 訪問認證，服務器對客戶端的，告知客戶端適用于訪問請求 URI 所指定資源的認證方案（Basic 或是 Digest）。

實體首部字段

1.Allow: GET, HEAD?? 通知客戶端資源可支持的 HTTP 方法。

2.Content-Encoding: gzip?? 告訴客戶端服務器對實體的主體進行壓縮的內容編碼方式

3.Content-Language: zh-CN?? 告知客戶端，實體主體使用的自然語言

4.Content-Length: 15000?? 實體主體的大小（字節）

5.Content-Location? ?替代對應資源的URI

6.Content-MD5? ?接收的報文主體與首部字段 Content-MD5 的字段值比較，檢測完整性。無法驗證偶發性改變和惡意篡改。

7.Content-Range???針對范圍請求，返回響應

8.Content-Type???說明了實體主體內對象的媒體類型

9.Expires? ??告知客戶端資源失效日期

10.Last-Modified???表明資源最終修改時間

為Cookie服務的首部字段

1.Set-Cookie屬性??當服務器開始管理客戶端的狀態時，會事先告知各種信息

2.Expires 屬性? ?瀏覽器可發送Cookie的有效期

3.Path屬性? ?限制Cookie發送范圍的文件目錄

4.Domain屬性???相同域名后綴，都可發送Cookie，不太安全

5.Secure屬性???僅在 HTTPS 安全連接時，才可以發送Cookie

6.HttpOnly 屬性? ?使 JavaScript 腳本無法獲得 Cookie，可防止跨站腳本攻擊（Cross-sitescripting，XSS）

其他首部字段

1.X-Frame-Options??屬于http響應頭部，于控制網站內容在其他 Web 網站的 Frame 標簽內的顯示問題，防止點擊劫持

2.X-XSS-Protection? ?屬于http響應頭部，用于控制瀏覽器XSS防護機制，0 XSS無效，1有效。

3.DNT? ?屬于 HTTP 請求首部，意為拒絕個人信息被收集，0 同意被追蹤，1拒絕被追蹤。

4.P3P??用于保護用戶隱私的技術

*X- 前綴表示非標準參數

第七章 確保Web安全的HTTPS

http缺點

1.明文? ? ?解決：（1）通信的加密：SSL；?（2）內容的加密：可以對報文主體進行加密處理（而通信本身不加密）

2.不驗證? ? ?解決：SSL不僅可提供加密處理，并有三方機構證書確認各方身份。

3.不保證完整性：導致攻擊者攔截和內容篡改（即中間人攻擊，MTTM），解決：散列校驗（如MD5、SHA-1）和數字簽名（如PGP，完美隱私），但沒有辦法百分之百保證結果正確，所以用HTTPS組合方式。

HTTP+加密+認證+完整性保護=HTTPS

1.HTTPS是身批SSL外殼的HTTP

HTTPS（HTTPSecure，超文本傳輸安全協議）或 HTTP over SSL，不是應用層新協議，是HTTP通信接口部分用SSL（Secure Socket Layer）和 TLS（Transport Layer Security）協議代替而已。通常，HTTP直接和TCP通信。當使用SSL 時，則演變成先和SSL通信，再由SSL和TCP通信了。

2.加密密鑰

? 加解密同一個密鑰——共享密鑰加密/對稱密鑰加密

? 公開密鑰發送+私有密鑰解密——公開密鑰加密/非對稱密鑰加密（一對）， SSL采用公開密鑰加密處理方式

? HTPS的混合加密機制：交換密鑰環節使用公開密鑰加密方式，之后的通信使用共享密鑰加密方式。

3.證書類型

? 證明公開密鑰正確性的數字證書（由權威數字證書認證機構頒發）

? 證明組織真實性的EV SSL證書

? 確認客戶端的客戶端證書，如網銀

? 自己頒發的服務器證書：自簽名正式—瀏覽器訪問出現“無法確認安全性”等告警信息

4.HTTP的安全通信機制（書153頁）

5.HTTPS比HTTP要慢2-100倍

未完待續

HTTP 網絡

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。