11.1 针对 Web 的攻击技术简单的 HTTP 协议本身并不存在安全性问题，因此协议本身几乎不会成为攻击的对象。应用 HTTP 协议的服务器和客户端，以及运行在服务器上的 Web 应用等资源才是攻击目标。目前，来自互联网的攻击大多是冲着 Web 站点来的，它们大多把Web 应用作为攻击目标。 图：攻击事件倾向 HTTP 不具备必要的安全功能 与最初的设计相比，现今的 Web 网站应用的 HTTP 协议的使用方式已发生了翻天覆地的变化。几乎现今所有的 Web 网站都会使用会话（session）管理、加密处理等安全性方面的功能，而 HTTP 协议内并不具备这些功能。 从整体上看，HTTP 就是一个通用的单纯协议机制。因此它具备较多优势，但是在安全性方面则呈劣势。 在客户端即可篡改请求 在 Web 应用中，从浏览 ...

10.1 HTMLWeb 页面几乎全由 HTML 构建： HTML（HyperText Markup Language，超文本标记语言）是为了发送Web 上的超文本（Hypertext）而开发的标记语言。超文本是一种文档系统，可将文档中任意位置的信息与其他信息（文本或图片等）建立关联，即超链接文本。标记语言是指通过在文档的某部分穿插特别的字符串标签，用来修饰文档的语言。我们把出现在 HTML文档内的这种特殊字符串叫做 HTML标签（Tag）。 平时我们浏览的 Web 页面几乎全是使用 HTML写成的。由 HTML构成的文档经过浏览器的解析、渲染后，呈现出来的结果就是 Web 页面。 10.2 动态 HTML所谓动态 HTML（Dynamic HTML），是指使用客户端脚本语言将静态的 HTML内容变成动态的技术 ...

9.1 基于 HTTP 的协议在建立 HTTP 标准规范时，制订者主要想把 HTTP 当作传输 HTML文档的协议。因为 HTTP 协议上的限制以及自身性能有限，所以有一些新协议的规则是基于 HTTP 的，并在此基础上添加了新的功能。 9.2 消除 HTTP 瓶颈的 SPDYGoogle 在 2010 年发布了 SPDY（取自 SPeeDY，发音同 speedy），其开发目标旨在解决 HTTP 的性能瓶颈，缩短 Web 页面的加载时间（50%）。SPDY HTTP 的瓶颈:一条连接上只可发送一个请求。 请求只能从客户端开始。客户端不可以接收除响应以外的指令。 请求 / 响应首部未经压缩就发送。首部信息越多延迟越大。 发送冗长的首部。每次互相发送相同的首部造成的浪费较多。 可任意选择数据压缩格式。非强制压缩发送。 ...

某些 Web 页面只想让特定的人浏览，或者干脆仅本人可见。为达到这个目标，必不可少的就是认证功能。 8.1 何为认证计算机本身无法判断坐在显示器前的使用者的身份，为了弄清究竟是谁在访问服务器，就得让对方的客户端自报家门。 HTTP/1.1 使用的认证方式如下所示： BASIC 认证（基本认证） DIGEST 认证（摘要认证） SSL 客户端认证 FormBase 认证（基于表单认证） 此外，还有 Windows 统一认证（Keberos 认证、NTLM 认证）等等。 8.2 BASIC 认证BASIC 认证（基本认证）是从 HTTP/1.0 就定义的认证方式。即便是现在仍有一部分的网站会使用这种认证方式。是 Web 服务器与通信客户端之间进行的认证方式。 图：BASIC 认证概要 步骤 1： 当请求的资源需要 ...

移动端1px 变粗的原因为什么移动端css里面写了1px, 实际看起来比1px粗？ 因为Retine屏的分辨率是普通屏幕的2倍，3倍，1px的边框在devicePixelRatio=2的retina屏下会显示成2px，在devicePixelRatio=3的retina屏下会显示成3px，所以在高清屏下看着1px总是感觉变胖了。也可以说是设备像素（物理像素）和屏幕密度（设备独立像素）比例不一致导致的。 解决方案1.用小数来写px值IOS8下已经支持带小数的px值, media query对应devicePixelRatio有个查询值-webkit-min-device-pixel-ratio, css可以写成这样:1234567.border { border: 1px solid #999  ...

在 HTTP 协议中有可能存在信息窃听或身份伪装等安全问题。使用HTTPS 通信机制可以有效地防止这些问题。 7.1 HTTP 的缺点HTTP 并非只有好的一面，事物皆具两面性，它也是有不足之处的。HTTP 主要有这些不足，例举如下： 通信使用明文（不加密），内容可能会被窃听 不验证通信方的身份，因此有可能遭遇伪装 无法证明报文的完整性，所以有可能已遭篡改 这些问题不仅在 HTTP 上出现，其他未加密的协议中也会存在这类问题。 7.1.1 通信使用明文可能会被窃听HTTP 报文使用明文（指未经过加密的报文）方式发送。 TCP/IP 是可能被窃听的网络 图：互联网上的任何角落都存在通信内容被窃听的风险 加密处理防止被窃听 加密的对象可以有这么几个： 通信的加密：HTTP 协议中没有加密机制，但可以通过和 SSL（ ...

Cookie 的工作机制是用户识别及状态管理。Web 网站为了管理用户的状态会通过 Web 浏览器，把一些数据临时写入用户的计算机内。接着当用户访问该Web网站时，可通过通信方式取回之前发放的Cookie。 调用 Cookie 时，由于可校验 Cookie 的有效期，以及发送方的域、路径、协议等信息，所以正规发布的 Cookie 内的数据不会因来自其他Web 站点和攻击者的攻击而泄露。 至 2013 年 5 月，Cookie 的规格标准文档有以下 4 种： 由网景公司颁布的规格标准、RFC2109、RFC2965、RFC6265 目前使用最广泛的 Cookie 标准却不是 RFC 中定义的任何一个。而是网景公司制定的标准上进行扩展后的产物。 6.7.1 Set-CookieSet-Cookie: status= ...

实体首部字段是包含在请求报文和响应报文中的实体部分所使用的首部，用于补充内容的更新时间等与实体相关的信息。 图：在请求和响应两方的 HTTP 报文中都含有与实体相关的首部字段 6.6.1 Allow 首部字段 Allow 用于通知客户端能够支持 Request-URI 指定资源的所有 HTTP 方法。当服务器接收到不支持的 HTTP 方法时，会以状态码405 Method Not Allowed 作为响应返回。与此同时，还会把所有能支持的 HTTP 方法写入首部字段 Allow 后返回。 6.6.2 Content-EncodingContent-Encoding: gzip 首部字段 Content-Encoding 会告知客户端服务器对实体的主体部分选用的内容编码方式。内容编码是指在不丢失实体信息的前提下所 ...

响应首部字段是由服务器端向客户端返回响应报文中所使用的字段，用于补充响应的附加信息、服务器信息，以及对客户端的附加要求等信息。 6.5.1 Accept-Ranges图：当不能处理范围请求时，Accept-Ranges: none 首部字段 Accept-Ranges 是用来告知客户端服务器是否能处理范围请求，以指定获取服务器端某个部分的资源。 可指定的字段值有两种，可处理范围请求时指定其为 bytes，反之则指定其为 none。 6.5.2 Age首部字段 Age 能告知客户端，源服务器在多久前创建了响应。字段值的单位为秒。 若创建该响应的服务器是缓存服务器，Age 值是指缓存后的响应再次发起认证到认证完成的时间值。代理创建响应时必须加上首部字段Age。 6.5.3 ETag 首部字段 ETag 能告知客户端 ...

请求首部字段是从客户端往服务器端发送请求报文中所使用的字段，用于补充请求的附加信息、客户端信息、对响应内容相关的优先级等内容。 图：HTTP 请求报文中使用的首部字段 6.4.1 Accept Accept 首部字段可通知服务器，用户代理能够处理的媒体类型及媒体类型的相对优先级。可使用 type/subtype 这种形式，一次指定多种媒体类型。 下面我们试举几个媒体类型的例子： 文本文件：text/html, text/plain, text/css …，application/xhtml+xml, application/xml … 图片文件：image/jpeg, image/gif, image/png … 视频文件：video/mpeg, video/quicktime … 应用程序使用的二进制文件：a ...