1.web页面分类动态web
应用 数据库 根据用户的输入返回不同的结果
静态web2.web攻击面
Network
OS
WEB Server
App server
Web Application
Database
Browser
3.http协议特点明文
无内建安全机制
嗅探或代理截断可查看全部明文信息https只能提高传输层安全,并不能完全防范中间人攻击
无状态 每一次通信都是一个独立的过程
使用cookie/session跟踪用户会话
提高用户体验,但是增加了攻击向量
cycle一次请求/响应称为一个cycle
header
Set-Cookie 服务端发送给客户端的sessionID
Content-Lengthbody 记录body部分的长度Location 重定向
Cookie 证明用户状态的信息
Referrer 发起请求前所在的页面
4.状态码
100 表示服务器还有后续处理200 请求成功
300 重定向
400 客户端请求错误
401 需要身份验证403 拒绝访问
404 目标未发现
500 服务器内部错误
时间: 2024-12-17 17:30:00