�x���¹�������ֱ�ӳ���
�gӭ���R�ЈD�W(w��ng) Ո | ע��

���] �D��HTTP

���ߣ���Ұ��
�����磺�����]늳���������r�g��2014-05-01
�_���� ��32�_ 퓔�(sh��)�� 250
�x���u�֣�5��3�l�uՓ
�� �D �r:¥37.7(7.7��) ���r  ¥49.0 ��䛺�ɿ������T�r
���rȱ؛ �ղ�
�_���٣� ȫ�����]
?�½������س���
������Ǖ�����>
�I�^����Ʒ����߀�I��

�D��HTTP ���(qu��n)��Ϣ

�D��HTTP ������ɫ

���D��http������“(li��n)�W(w��ng)���P����http�f(xi��)�h�M(j��n)����ȫ��ϵ�y(t��ng)�Ľ�B��������http�f(xi��)�h�İl(f��)չ�vʷ�渵�������(y��n)֔(j��n)��(x��)�µ�������http�f(xi��)�h�ĽY(ji��)��(g��u)�����e�T�ೣҊͨ�ň���������(zh��n)������*�����쵽web��ȫ��*�¼��g(sh��)����ȷ��������D��http������ɫ�����v���ͬ�r���o�Դ������������ͨ�ňD�������õ؎����x���������httpͨ���^���п͑����c����(w��)��֮�g�Ľ�����r���x�߿�ͨ�^���D��http�������˽Ⲣ����http�f(xi��)�h�Ļ��A(ch��)��ǰ�˹��̎�����ץ����(sh��)��(j��)����˹��̎����F(xi��n)rest api�����F(xi��n)�Լ���http����(w��)�����^���������http���P(gu��n)֪�R�c�������н�B�� �������D��http���m��web�_�l(f��)���̎����Լ���http�f(xi��)�h���dȤ�ĸ��Ӵ��x�ߡ�

�D��HTTP ��(n��i)�ݺ���

172���D���p�����T  �����Ļ��A(ch��)֪�R��*�„�����һ��������http�f(xi��)�h  ����webǰ���_�l(f��)��**���Ļ��A(ch��)֪�R��*�„���һ�W(w��ng)��M  ��������ǰ�벿����http�ij��L�l(f��)չʷ�渵���������http 1.1 ��(bi��o)��(zh��n)�v��ͨ���^��������http�������f(xi��)�h��ʽ�����ĽY(ji��)��(g��u)���ײ��ֶ�����B(t��i)�a�ȵľ��w���x��߀�քe�v��httpͨ���^���д������W(w��ng)�P(gu��n)�������ȵ�������������Bspdy��websocket��webdav��http�ĔU(ku��)չ����������߀�ļ�(x��)��(ji��)�����e����׌�x�߸��õ�����Ξ�o��B(t��i)��stateless����301��302�ض���ą^(q��)�e����������C(j��)�����ȵȡ�������벿�ֵ����ķ���web��ȫ�������whttps��ssl���C���J(r��n)�C�����ܙC(j��)����web�����ֶεȃ�(n��i)����

�D��HTTP Ŀ�

��1�¡��˽�web���W(w��ng)�j(lu��)���A(ch��)��
��1.1��ʹ��http�f(xi��)�h�L��web��
��1.2��http���Q����
����1.2.1����֪�R������Ҏ(gu��)��web��
����1.2.2��web���L�r����
����1.2.3���v�㲻ǰ��http��
��1.3���W(w��ng)�j(lu��)���A(ch��)tcp/ip��
����1.3.1��tcp/ip�f(xi��)�h�塡
����1.3.2��tcp/ip�ķ֌ӹ�����
����1.3.3��tcp/ipͨ�ł�ݔ����
��1.4���chttp�P(gu��n)ϵ���еąf(xi��)�h��ip��tcp��dns��
����1.4.1��ؓ(f��)؟(z��)��ݔ?sh��)�ip�f(xi��)�h��
����1.4.2���_���ɿ��Ե�tcp�f(xi��)�h��
��1.5��ؓ(f��)؟(z��)����������dns����(w��)��
��1.6�����N�f(xi��)�h�chttp�f(xi��)�h���P(gu��n)ϵ��
��1.7��uri��url��
����1.7.1���y(t��ng)һ�YԴ��(bi��o)�R����
����1.7.2��uri��ʽ��
��2�¡����ε�http�f(xi��)�h��
��2.1��http�f(xi��)�h���ڿ͑��˺ͷ���(w��)����֮�g��ͨ�š�
��2.2��ͨ�^Ո���푑�(y��ng)�Ľ��Q�_(d��)��ͨ�š�
��2.3��http�Dz������B(t��i)�ąf(xi��)�h��
��2.4��Ո��uri��λ�YԴ��
��2.5����֪����(w��)����D��http������
��2.6��ʹ�÷������_(d��)���
��2.7���־��B�ӹ�(ji��)ʡͨ������
����2.7.1���־��B�ӡ�
����2.7.2���ܾ�����
��2.8��ʹ��cookie�Ġ�B(t��i)������
��3�¡�http���ă�(n��i)��http��Ϣ��
��3.1��http���ġ�
��3.2��Ո����ļ�푑�(y��ng)���ĵĽY(ji��)��(g��u)��
��3.3�����a������ݔ���ʡ�
����3.3.1���������w�͌��w���w�IJ��
����3.3.2�����s��ݔ?sh��)ă?n��i)�ݾ��a��
����3.3.3���ָ�l(f��)�͵ķ։K��ݔ���a��
��3.4���l(f��)�Ͷ�N��(sh��)��(j��)�Ķಿ�֌��󼯺ϡ�
��3.5���@ȡ���փ�(n��i)�ݵķ���Ո��
��3.6����(n��i)�݅f(xi��)�̷���*���m�ă�(n��i)�ݡ�
��4�¡����ؽY(ji��)����http��B(t��i)�a��
��4.1����B(t��i)�a��֪�ķ���(w��)���˷��ص�Ո��Y(ji��)����
��4.2��2xx�ɹ���
����4.2.1��200 ok��
����4.2.2��204 no content��
����4.2.3��206 partial content��
��4.3��3xx�ض���
����4.3.1��301 moved permanently��
����4.3.2��302 found��
����4.3.3��303 see other��
����4.3.4��304 not modified��
����4.3.5��307 temporary redirect��
��4.4��4xx�͑����e�`��
����4.4.1��400 bad request��
����4.4.2��401 unauthorized��
����4.4.3��403 forbidden��
����4.4.4��404 not found��
��4.5��5xx����(w��)���e�`��
����4.5.1��500 internal server error��
����4.5.2��503 service unavailable��
��5�¡��chttp�f(xi��)����web����(w��)����
��5.1���Æ��_̓�M���C(j��)���F(xi��n)����������
��5.2��ͨ�Ŕ�(sh��)��(j��)�D(zhu��n)�l(f��)���򣺴������W(w��ng)�P(gu��n)��������
����5.2.1��������
����5.2.2���W(w��ng)�P(gu��n)��
����5.2.3��������
��5.3�������YԴ�ľ��桡
����5.3.1���������Ч���ޡ�
����5.3.2���͑��˵ľ��桡
��6�¡�http�ײ���
��6.1��http�����ײ���
��6.2��http�ײ��ֶΡ�
����6.2.1��http�ײ��ֶ΂��f��Ҫ��Ϣ��
����6.2.2��http�ײ��ֶνY(ji��)��(g��u)��
����6.2.3��4�Nhttp�ײ��ֶ���͡�
����6.2.4��http/1.1�ײ��ֶ�һ�[��
����6.2.5����http/1.1�ײ��ֶΡ�
����6.2.6��end-to-end�ײ���hop-by-hop�ײ���
��6.3��http/1.1ͨ���ײ��ֶΡ�
����6.3.1��cache-control��
����6.3.2��connection��
����6.3.3��date��
����6.3.4��pragma��
����6.3.5��trailer��
����6.3.6��transfer-encoding��
����6.3.7��upgrade��
����6.3.8��via��
����6.3.9��warning��
��6.4��Ո���ײ��ֶΡ�
����6.4.1��accept��
����6.4.2��accept-charset��
����6.4.3��accept-encoding��
����6.4.4��accept-language��
����6.4.5��authorization��
����6.4.6��expect��
����6.4.7��from��
����6.4.8��host��
����6.4.9��if-match��
����6.4.10��if-modified-since��
����6.4.11��if-none-match��
����6.4.12��if-range��
����6.4.13��if-unmodified-since��
����6.4.14��max-forwards��
����6.4.15��proxy-authorization��
����6.4.16��range��
����6.4.17��referer��
����6.4.18��te��
����6.4.19��user-agent��
��6.5��푑�(y��ng)�ײ��ֶ�
����6.5.1��accept-ranges��
����6.5.2��age��
����6.5.3��etag��
����6.5.4��location��
����6.5.5��proxy-authenticate��
����6.5.6��retry-after��
����6.5.7��server��
����6.5.8��vary��
����6.5.9��www-authenticate��
��6.6�����w�ײ��ֶ�
����6.6.1��allow��
����6.6.2��content-encoding��
����6.6.3��content-language��
����6.6.4��content-length��
����6.6.5��content-location��
����6.6.6��content-md5��
����6.6.7��content-range��
����6.6.8��content-type��
����6.6.9��expires��
����6.6.10��last-modified��
��6.7����cookie����(w��)���ײ��ֶΡ�
����6.7.1��set-cookie��
����6.7.2��cookie��
��6.8�������ײ��ֶ�
��6.8.1��x-frame-options��
��6.8.2��x-xss-protection��
��6.8.3��dnt��
��6.8.4��p3p��
��7�¡��_��web��ȫ��https��
��7.1��http��ȱ�c��
����7.1.1��ͨ��ʹ�����Ŀ��ܕ����` ��
����7.1.2������Cͨ�ŷ������ݾͿ����������b��
����7.1.3���o���C����������������������۸ġ�
��7.2��http+����+�J(r��n)�C+�����Ա��o(h��)=https��
����7.2.1��http���ϼ���̎�����J(r��n)�C�Լ������Ա��o(h��)����https��
����7.2.2��https������ssl�⚤��http��
����7.2.3���໥���Q��耵Ĺ��_��耼��ܼ��g(sh��)��
����7.2.4���C�����_������_�Ե��C����
����7.2.5��https�İ�ȫͨ�řC(j��)�ơ�
��8�¡��_�J(r��n)�L���Ñ����ݵ��J(r��n)�C��
��8.1�����J(r��n)�C��
��8.2��basic�J(r��n)�C��
��8.3��digest�J(r��n)�C
��8.4��ssl�͑����J(r��n)�C
����8.4.1��ssl�͑����J(r��n)�C���J(r��n)�C���E��
����8.4.2��ssl�͑����J(r��n)�C�����p�����J(r��n)�C��
����8.4.3��ssl�͑����J(r��n)�C��Ҫ���M�á�
��8.5�����ڱ���J(r��n)�C��
����8.5.1���J(r��n)�C������ڱ���J(r��n)�C��
����8.5.2��session������cookie��(y��ng)�á�
��9�¡�����http�Ĺ���׷�Ӆf(xi��)�h��
��9.1������http�ąf(xi��)�h
��9.2������httpƿ�i��spdy��
����9.2.1��http��ƿ�i��
����9.2.2��spdy���O(sh��)Ӌ�c���ܡ�
����9.2.3��spdy����webƿ�i�ˆᡡ
��9.3��ʹ�Þg�[���M(j��n)��ȫ�p��ͨ�ŵ�websocket��
����9.3.1��websocket���O(sh��)Ӌ�c���ܡ�
����9.3.2��websocket�f(xi��)�h��
��9.4�������Ѿõ�http/2.0��
��9.5��web����(w��)�������ļ���webdav��
����9.5.1���U(ku��)չhttp/1.1��webdav��
����9.5.2��webdav��(n��i)�����ķ�������B(t��i)�a��
��10�¡���(g��u)��web��(n��i)�ݵļ��g(sh��)��
��10.1��html��
����10.1.1��web���׺�ȫ��html��(g��u)����
����10.1.2��html�İ汾��
����10.1.3���O(sh��)Ӌ��(y��ng)��css��
��10.2���ӑB(t��i)html��
����10.2.1��׌web���������ĄӑB(t��i)html��
����10.2.2�����׿���html��dom��
��10.3��web��(y��ng)�á�
����10.3.1��ͨ�^web�ṩ���ܵ�web��(y��ng)�á�
����10.3.2���cweb����(w��)��������f(xi��)����cgi��
����10.3.3����java���ռ���servlet��
��10.4����(sh��)��(j��)�l(f��)���ĸ�ʽ���Z�ԡ�
����10.4.1���ɔU(ku��)չ��(bi��o)ӛ�Z�ԡ�
����10.4.2���l(f��)��������Ϣ��rss/atom��
����10.4.3��javascript�������p��������json��
��11�¡�web�Ĺ������g(sh��)��
��11.1��ᘌ�web�Ĺ������g(sh��)��
����11.1.1��http���߂��Ҫ�İ�ȫ���ܡ�
����11.1.2���ڿ͑��˼��ɴ۸�Ո��
����11.1.3��ᘌ�web��(y��ng)�õĹ���ģʽ��
��11.2����ݔ��ֵ�D(zhu��n)�x����ȫ���l(f��)�İ�ȫ©����
����11.2.1����վ�_��������
����11.2.2��sqlע�빥����
����11.2.3��os����ע�빥����
����11.2.4��http�ײ�ע�빥����
����11.2.5���]���ײ�ע�빥����
����11.2.6��Ŀ䛱�v������
����11.2.7���h(yu��n)���ļ�����©����
��11.3�����O(sh��)�û��O(sh��)Ӌ�ϵ�ȱ�����l(f��)�İ�ȫ©����
����11.3.1����(qi��ng)�ƞg�[��
����11.3.2�������_���e�`��Ϣ̎����
����11.3.3���_���ض���
��11.4�����Ԓ����������l(f��)�İ�ȫ©����
����11.4.1����Ԓ�ٳ֡�
����11.4.2����Ԓ�̶�������
����11.4.3����վ�cՈ����졡
��11.5��������ȫ©����
����11.5.1���ܴa�ƽ⡡
����11.5.2���c���ٳ֡�
����11.5.3��dos������
����11.5.4�����T����
չ�_ȫ��

�D��HTTP ���ߺ���

���ߺ��� ������Ұ �� ����OWASP �ձ��֕����L��TRICORDER��ʽ���維���L�� ������Ҫ���°�ȫ��ԃ���L(f��ng)�U�u������Ϣ��ȫ�����ȹ��������С������҂�һ���W(xu��)��(x��)�]���f(xi��)�h������ҹ�狼���`��ץ��ȥ��룩���������҂�һ���W(xu��)��(x��)TCP/IP������ҹ�狼��TCP/IP�����������҂�һ���W(xu��)��(x��)HTTP������ҹ�狼��HTTP������(d��n)��The Tangled Web:A Guide to Securing Modern Web Application���İ�Č�У������ �����g�ߺ��� �����ھ��� �����Ϻ���ͨ��W(xu��)�Tʿ���߼�ܛ�����̎����R�������ߣ����c�W(w��ng)��(chu��ng)ʼ����

��Ʒ�uՓ(3�l)
�������]
��݋���]
����픲�
�ЈD�W(w��ng)
�ھ��ͷ�