Web安全課程設(shè)計(jì)第二章

Web安全課程設(shè)計(jì)第二章Web安全基礎(chǔ)知識(shí)介紹點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本目錄0102HTTP協(xié)議介紹Web架構(gòu)介紹第二章Web安全基礎(chǔ)知識(shí)介紹點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本W(wǎng)eb架構(gòu)介紹-專業(yè)詞匯理解第二章Web安全基礎(chǔ)知識(shí)介紹B/S架構(gòu)：瀏覽器/服務(wù)器C/S架構(gòu)：客戶端/服務(wù)器桌面軟件：單擊、不聯(lián)網(wǎng)Web應(yīng)用：開發(fā)B/S架構(gòu)的程序，通過瀏覽器訪問的應(yīng)用。B/S請(qǐng)求模式用戶—瀏覽器—服務(wù)器—程序—執(zhí)行—返回結(jié)果數(shù)據(jù)庫Web應(yīng)用點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本W(wǎng)eb架構(gòu)介紹-專業(yè)詞匯理解第二章Web安全基礎(chǔ)知識(shí)介紹Html:超文本標(biāo)記語言，靜態(tài)網(wǎng)頁設(shè)計(jì)語言。ASPPHPJSP…動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)語言靜態(tài)網(wǎng)頁：代碼不變，內(nèi)容不變。動(dòng)態(tài)網(wǎng)頁：代碼不變，隨著環(huán)境、時(shí)間、數(shù)據(jù)庫的改變導(dǎo)致結(jié)果改變。點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹ASPASP簡介 ASP是動(dòng)態(tài)服務(wù)器頁面（ActiveServerPages）的英文縮寫，后來也稱為經(jīng)典ASP，是微軟公司開發(fā)的代替CGI腳本程序的一種應(yīng)用，也是微軟公司的第一個(gè)服務(wù)器側(cè)的腳本引擎，能夠動(dòng)態(tài)產(chǎn)生Web頁面。ASP可以與Web數(shù)據(jù)庫以及其它程序進(jìn)行交互，是一種簡單、方便的編程工具。ASP的網(wǎng)頁文件的格式是.asp，曾用于各種動(dòng)態(tài)網(wǎng)站中。2002年1月微軟發(fā)布ASP.NET，用于取代ASP。Web架構(gòu)介紹中文名動(dòng)態(tài)服務(wù)器頁面外文名ActiveServerPages英文縮寫ASP開發(fā)公司微軟公司類型Web應(yīng)用框架表—ASP點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹ASP架構(gòu) ASP使用服務(wù)器側(cè)的腳本生成頁面內(nèi)容并發(fā)給訪問者的頁面瀏覽器。ASP解釋器讀取并執(zhí)行所有在<%和%>標(biāo)簽之間的腳本代碼，并生成內(nèi)容。這些腳本使用VBScript,JScript和PerlScript編寫。@Language指令，<scriptlanguage="manu"runat="server"/>句法或服務(wù)器配置都可用于選擇語言。 .asp擴(kuò)展名的Web頁面使用ASP技術(shù)，一些Web站點(diǎn)為了安全目的，會(huì)通過使用更常見的.htm或.html擴(kuò)展名來偽裝他們對(duì)腳本語言的選擇。.aspx擴(kuò)展名的頁面使用ASP.NET。但是ASP.NET頁面也可以包含一些ASP腳本。當(dāng)介紹ASP.NET時(shí)，往往使用經(jīng)典ASP這一術(shù)語來表示原始的ASP技術(shù)。ASP只在Windows上運(yùn)行，一些產(chǎn)品在非微軟的Web服務(wù)器上仿真了經(jīng)典ASP的部分功能，比如Apache::ASP移植經(jīng)典ASP到Apache的Web服務(wù)器上，但只能使用PerlScript腳本語言。Web架構(gòu)介紹點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹ASP特點(diǎn)：1、任何開發(fā)工具皆可發(fā)展ASP只要使用一般的文書編輯程序，如Windows記事本，就可以編輯。當(dāng)然，其他網(wǎng)頁發(fā)展工具，例如，F(xiàn)rontPageExpress、FrontPage等也都可以；不過還是建議你用記事本來寫，既省錢又方便，若是使用那些所見即所得的網(wǎng)頁編輯來寫ASP，可能會(huì)發(fā)生一些意想不到的離奇狀態(tài)。2、通吃各家瀏覽器由于ASP程序是在網(wǎng)絡(luò)服務(wù)器端中執(zhí)行，執(zhí)行結(jié)果所產(chǎn)生的HTML文件適用于不同的瀏覽器。3、語言相容性高ASP與所有的ActiveXScript語言都相容，除了可結(jié)合HTML，VBScript、JavaScript、ActiveX服務(wù)器組件來設(shè)計(jì)外，并可經(jīng)由“plug-In（外掛組件模組）的方式，使用其他廠商（ThirdParty）所提供的語言。Web架構(gòu)介紹點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹4、隱密安全性高如果我們?cè)跒g覽器中直接查看網(wǎng)頁的原始代碼，就只能看到HTML文件，原始的ASP程序代碼是看不到的！這是因?yàn)锳SP程序先于網(wǎng)站服務(wù)（WebServer）端執(zhí)行后，將結(jié)果轉(zhuǎn)換成標(biāo)準(zhǔn)HTML文件，再傳送到客戶端（Client）的瀏覽器上，因此，我們所辛苦撰寫的ASP程序并不會(huì)輕易地被看見進(jìn)而被盜用。5、易于操控?cái)?shù)據(jù)庫ASP可以輕易地通過ODBC(OpenDatabaseConnectivity)驅(qū)動(dòng)程序連接各種不同的數(shù)據(jù)庫，例如：Acess、Foxpro、dBase、Oracle等等，另外，ASP亦可將“文本文件”或是”Excel”文件當(dāng)成數(shù)據(jù)庫用。6、面向?qū)ο髮W(xué)習(xí)容易ASP具備有面向?qū)ο螅∣bject-Oriented）功能，學(xué)習(xí)容易，ASP提供了五種方便能力強(qiáng)大的內(nèi)建對(duì)象：Request、Response、Sever、Application以及Session，同時(shí)，若使用ASP內(nèi)建的“Application”對(duì)象或”Session”對(duì)象所撰寫出來的ASP程序可以在多個(gè)網(wǎng)頁之間暫時(shí)保存必要的信息。Web架構(gòu)介紹點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹PHPPHP簡介 PHP（外文名:PHP:HypertextPreprocessor，中文名：“超文本預(yù)處理器”）是一種通用開源腳本語言。語法吸收了C語言、Java和Perl的特點(diǎn)，利于學(xué)習(xí)，使用廣泛，主要適用于Web開發(fā)領(lǐng)域。PHP獨(dú)特的語法混合了C、Java、Perl以及PHP自創(chuàng)的語法。它可以比CGI或者Perl更快速地執(zhí)行動(dòng)態(tài)網(wǎng)頁。用PHP做出的動(dòng)態(tài)頁面與其他的編程語言相比，PHP是將程序嵌入到HTML（標(biāo)準(zhǔn)通用標(biāo)記語言下的一個(gè)應(yīng)用）文檔中去執(zhí)行，執(zhí)行效率比完全生成HTML標(biāo)記的CGI要高許多；PHP還可以執(zhí)行編譯后代碼，編譯可以達(dá)到加密和優(yōu)化代碼運(yùn)行，使代碼運(yùn)行更快。Web架構(gòu)介紹中文名超文本預(yù)處理器維護(hù)ThePHPGroup外文名PHP:HypertextPreprocessor最新版本PHP5.6.0（28Aug2014）編程范型面向?qū)ο?、命令式編程操作系統(tǒng)windows/linux/Mac跨平臺(tái)設(shè)計(jì)者RasmusLerdorf外語縮寫PHP表—PHP點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹PHPPHP特點(diǎn)1、PHP獨(dú)特的語法混合了C、Java、Perl以及PHP自創(chuàng)新的語法。2、PHP可以比CGI或者Perl更快速的執(zhí)行動(dòng)態(tài)網(wǎng)頁——?jiǎng)討B(tài)頁面方面，與其他的編程語言相比，PHP是將程序嵌入到HTML文檔中去執(zhí)行，執(zhí)行效率比完全生成htmL標(biāo)記的CGI要高許多；PHP具有非常強(qiáng)大的功能，所有的CGI的功能PHP都能實(shí)現(xiàn)。3、PHP支持幾乎所有流行的數(shù)據(jù)庫以及操作系統(tǒng)。4、最重要的是PHP可以用C、C++進(jìn)行程序的擴(kuò)展！Web架構(gòu)介紹點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹PHPPHP優(yōu)勢(shì)1、開放源代碼所有的PHP源代碼事實(shí)上都可以得到。2、免費(fèi)性和其它技術(shù)相比，PHP本身免費(fèi)且是開源代碼。3、快捷性程序開發(fā)快，運(yùn)行快，技術(shù)本身學(xué)習(xí)快。嵌入于HTML：因?yàn)镻HP可以被嵌入于HTML語言，它相對(duì)于其他語言。編輯簡單，實(shí)用性強(qiáng)，更適合初學(xué)者。4、跨平臺(tái)性強(qiáng)由于PHP是運(yùn)行在服務(wù)器端的腳本，可以運(yùn)行在UNIX、LINUX、WINDOWS、MacOS、Android等平臺(tái)Web架構(gòu)介紹點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹6、圖像處理用PHP動(dòng)態(tài)創(chuàng)建圖像,PHP圖像處理默認(rèn)使用GD2。且也可以配置為使用imagemagick進(jìn)行圖像處理。7、面向?qū)ο笤趐hp4,php5中，面向?qū)ο蠓矫娑加辛撕艽蟮母倪M(jìn)，php完全可以用來開發(fā)大型商業(yè)程序。8、專業(yè)專注PHP支持腳本語言為主，同為類C語言。Web架構(gòu)介紹點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹JSPJSP簡介 JSP全名為JavaServerPages，中文名叫java服務(wù)器頁面，其根本是一個(gè)簡化的Servlet設(shè)計(jì)，它是由SunMicrosystems公司倡導(dǎo)、許多公司參與一起建立的一種動(dòng)態(tài)網(wǎng)頁技術(shù)標(biāo)準(zhǔn)。JSP技術(shù)有點(diǎn)類似ASP技術(shù)，它是在傳統(tǒng)的網(wǎng)頁HTML（標(biāo)準(zhǔn)通用標(biāo)記語言的子集）文件(*.htm,*.html)中插入Java程序段(Scriptlet)和JSP標(biāo)記(tag)，從而形成JSP文件，后綴名為(*.jsp)。用JSP開發(fā)的Web應(yīng)用是跨平臺(tái)的，既能在Linux下運(yùn)行，也能在其他操作系統(tǒng)上運(yùn)行。它實(shí)現(xiàn)了Html語法中的java擴(kuò)展（以<%,%>形式）。JSP與Servlet一樣，是在服務(wù)器端執(zhí)行的。通常返回給客戶端的就是一個(gè)HTML文本，因此客戶端只要有瀏覽器就能瀏覽。Servlet（ServerApplet），全稱JavaServlet，未有中文譯文。是用Java編寫的服務(wù)器端程序。其主要功能在于交互式地瀏覽和修改數(shù)據(jù)，生成動(dòng)態(tài)Web內(nèi)容。Web架構(gòu)介紹點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹JSP技術(shù)使用Java編程語言編寫類XML的tags和scriptlets，來封裝產(chǎn)生動(dòng)態(tài)網(wǎng)頁的處理邏輯。網(wǎng)頁還能通過tags和scriptlets訪問存在于服務(wù)端的資源的應(yīng)用邏輯。JSP將網(wǎng)頁邏輯與網(wǎng)頁設(shè)計(jì)的顯示分離，支持可重用的基于組件的設(shè)計(jì)，使基于Web的應(yīng)用程序的開發(fā)變得迅速和容易。JSP(JavaServerPages)是一種動(dòng)態(tài)頁面技術(shù)，它的主要目的是將表示邏輯從Servlet中分離出來。Web架構(gòu)介紹點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹JSP技術(shù)使用Java編程語言編寫類XML的tags和scriptlets，來封裝產(chǎn)生動(dòng)態(tài)網(wǎng)頁的處理邏輯。網(wǎng)頁還能通過tags和scriptlets訪問存在于服務(wù)端的資源的應(yīng)用邏輯。JSP將網(wǎng)頁邏輯與網(wǎng)頁設(shè)計(jì)的顯示分離，支持可重用的基于組件的設(shè)計(jì)，使基于Web的應(yīng)用程序的開發(fā)變得迅速和容易。JSP(JavaServerPages)是一種動(dòng)態(tài)頁面技術(shù)，它的主要目的是將表示邏輯從Servlet中分離出來。JavaServlet是JSP的技術(shù)基礎(chǔ)，而且大型的Web應(yīng)用程序的開發(fā)需要JavaServlet和JSP配合才能完成。JSP具備了Java技術(shù)的簡單易用，完全的面向?qū)ο螅哂衅脚_(tái)無關(guān)性且安全可靠，主要面向因特網(wǎng)的所有特點(diǎn)。Web架構(gòu)介紹中文名JAVA服務(wù)器頁面外文名JavaServerPages外語縮寫JSP本質(zhì)動(dòng)態(tài)網(wǎng)頁技術(shù)標(biāo)準(zhǔn)表—JSP點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹Web架構(gòu)介紹JSP語言標(biāo)準(zhǔn)一個(gè)JSP頁面可以被分為以下幾部份：?靜態(tài)數(shù)據(jù)，如HTML?JSP指令，如include指令?JSP腳本元素和變量?JSP動(dòng)作?用戶自定義標(biāo)簽點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹Web架構(gòu)介紹JSP優(yōu)點(diǎn)（1）一次編寫，到處運(yùn)行。除了系統(tǒng)之外，代碼不用做任何更改。（2）系統(tǒng)的多平臺(tái)支持。基本上可以在所有平臺(tái)上的任意環(huán)境中開發(fā)，在任意環(huán)境中進(jìn)行系統(tǒng)部署，在任意環(huán)境中擴(kuò)展。相比ASP的局限性JSP的優(yōu)勢(shì)是顯而易見的。（3）強(qiáng)大的可伸縮性。從只有一個(gè)小的Jar文件就可以運(yùn)行Servlet/JSP，到由多臺(tái)服務(wù)器進(jìn)行集群和負(fù)載均衡，到多臺(tái)Application進(jìn)行事務(wù)處理，消息處理，一臺(tái)服務(wù)器到無數(shù)臺(tái)服務(wù)器，Java顯示了一個(gè)巨大的生命力。（4）多樣化和功能強(qiáng)大的開發(fā)工具支持。這一點(diǎn)與ASP很像，Java已經(jīng)有了許多非常優(yōu)秀的開發(fā)工具，而且許多可以免費(fèi)得到，并且其中許多已經(jīng)可以順利的運(yùn)行于多種平臺(tái)之下。(5)支持服務(wù)器端組件。web應(yīng)用需要強(qiáng)大的服務(wù)器端組件來支持，開發(fā)人員需要利用其他工具設(shè)計(jì)實(shí)現(xiàn)復(fù)雜功能的組件供web頁面調(diào)用，以增強(qiáng)系統(tǒng)性能。JSP可以使用成熟的JAVABEANS組件來實(shí)現(xiàn)復(fù)雜商務(wù)功能。點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹Web架構(gòu)介紹JSP缺點(diǎn)（1）與ASP也一樣，Java的一些優(yōu)勢(shì)正是它致命的問題所在。正是由于為了跨平臺(tái)的功能，為了極度的伸縮能力，所以極大的增加了產(chǎn)品的復(fù)雜性。（2）Java的運(yùn)行速度是用class常駐內(nèi)存來完成的，所以它在一些情況下所使用的內(nèi)存比起用戶數(shù)量來說確實(shí)是“最低性能價(jià)格比”了。點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本目錄0102HTTP協(xié)議介紹Web架構(gòu)介紹第二章Web安全基礎(chǔ)知識(shí)介紹點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹HTTP協(xié)議介紹隨著Web2.0時(shí)代的到來，互聯(lián)網(wǎng)從傳統(tǒng)的C/S架構(gòu)（客戶機(jī)和服務(wù)器結(jié)構(gòu)）轉(zhuǎn)變?yōu)楦臃奖憧旖莸腂/S架構(gòu)。（B/S即瀏覽器/服務(wù)器結(jié)構(gòu)，就像我們?cè)L問過的所有網(wǎng)站，客戶機(jī)上只需要一個(gè)瀏覽器即可上網(wǎng)沖浪。當(dāng)客戶端與Web服務(wù)器進(jìn)行交互時(shí)，就存在Web請(qǐng)求，這種請(qǐng)求都基于統(tǒng)一的應(yīng)用層協(xié)議(HTTP協(xié)議)交互數(shù)據(jù)。HTTP(HyperTextTransferProtocol)即超文本傳輸協(xié)議，是一種詳細(xì)規(guī)定了瀏覽器和萬維網(wǎng)服務(wù)器之間互相通信的規(guī)則，它是萬維網(wǎng)交換信息的基礎(chǔ)，它允許將HTML(超文本標(biāo)記語言)文檔從Web服務(wù)器傳送到Web瀏覽器。點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本HTTP協(xié)議介紹第二章Web安全基礎(chǔ)知識(shí)介紹HTTP:超文本傳輸協(xié)議，方便客戶端與多種服務(wù)器交互而制定的協(xié)議。通過瀏覽器訪問的基本協(xié)議。B/S

北大附中網(wǎng)站

支付寶網(wǎng)站點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹HTTP協(xié)議介紹HTTP協(xié)議目前最新版的版本是1.1，HTTP是一種無狀態(tài)的協(xié)議。無狀態(tài)是指Web瀏覽器與Web服務(wù)器之間不需要建立持久的連接,這意味著當(dāng)一個(gè)客戶端向服務(wù)器端發(fā)出請(qǐng)求，然后Web服務(wù)器返回響應(yīng)（Response)，連接就被關(guān)閉了，在服務(wù)器端不保留連接的有關(guān)信息。也就是說，HTTP請(qǐng)求只能由客戶端發(fā)起，而服務(wù)器不能主動(dòng)向客戶端發(fā)送數(shù)據(jù)。HTTP遵循請(qǐng)求（Request）/應(yīng)答（Response）模型，Web瀏覽器向Web服務(wù)器發(fā)送請(qǐng)求時(shí)，Web服務(wù)器處理請(qǐng)求并返回適當(dāng)?shù)膽?yīng)答，如圖2-1所示：點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹HTTP協(xié)議介紹圖2-1Response:1、接受請(qǐng)求生成數(shù)據(jù)2、轉(zhuǎn)化為靜態(tài)頁面3、反饋給用戶Request:URL組成http://18:8007/Login.aspx

協(xié)議名主機(jī)名端口資源名點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹HTTP協(xié)議介紹HTTP協(xié)議的主要特點(diǎn):1.支持客戶/服務(wù)器模式。2.簡單快速：客戶向服務(wù)器請(qǐng)求服務(wù)時(shí)，只需傳送請(qǐng)求方法和路徑。請(qǐng)求方法常用的有GET、POST。每種方法規(guī)定了客戶與服務(wù)器聯(lián)系的類型不同。由于HTTP協(xié)議簡單，使得HTTP服務(wù)器的程序規(guī)模小，因而通信速度很快。3.靈活：HTTP允許傳輸任意類型的數(shù)據(jù)對(duì)象。正在傳輸?shù)念愋陀蒀ontent-Type加以標(biāo)記。4.無連接：無連接的含義是限制每次連接只處理一個(gè)請(qǐng)求。服務(wù)器處理完客戶的請(qǐng)求，并收到客戶的應(yīng)答后，即斷開連接。采用這種方式可以節(jié)省傳輸時(shí)間。5.無狀態(tài)：HTTP協(xié)議是無狀態(tài)協(xié)議。無狀態(tài)是指協(xié)議對(duì)于事務(wù)處理沒有記憶能力。缺少狀態(tài)意味著如果后續(xù)處理需要前面的信息，則它必須重傳，這樣可能導(dǎo)致每次連接傳送的數(shù)據(jù)量增大。另一方面，在服務(wù)器不需要先前信息時(shí)它的應(yīng)答就較快。下面將對(duì)常用get、post及其它請(qǐng)求方法進(jìn)行詳細(xì)介紹。點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹HTTP協(xié)議介紹GET請(qǐng)求獲取資源，服務(wù)器不做任何工作GET方法用于獲取請(qǐng)求頁面的指定信息(以實(shí)體的格式)。如果請(qǐng)求資源為動(dòng)態(tài)腳本(非HTML),那么返回文本W(wǎng)eb容器解析后的HTML源代碼，而不是源文件。例如請(qǐng)求index.jsp，返回的不是index.jsp的源文件，而是經(jīng)過解析后的HTML代碼。如下HTTP請(qǐng)求:GET/index.php?id=1HTTP/1.1方法

資源名協(xié)議版本HOST:使用GET請(qǐng)求index.php，并且id參數(shù)為1，在服務(wù)器端腳本語言中可以選擇性地接收這些參數(shù)，比如id=1&name=admin，一般都是由開發(fā)者內(nèi)定好的參數(shù)項(xiàng)目才會(huì)接收，比如開發(fā)者只接收id參數(shù)項(xiàng)目，若加了其他參數(shù)項(xiàng)，如:Index.php?id=l&usernarne=admin//多個(gè)參數(shù)項(xiàng)以"&"分隔,服務(wù)器端腳本不會(huì)理會(huì)你加入的內(nèi)容，依然只會(huì)接收id參數(shù)，并且去查詢數(shù)據(jù)，最終向服務(wù)器端發(fā)送解析過的HTML數(shù)據(jù)，不會(huì)因?yàn)槟愕母蓴_而亂套。點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹HTTP協(xié)議介紹POST請(qǐng)求：更新數(shù)據(jù)庫、請(qǐng)求服務(wù)器做處理POST方法也與GET方法相似，但最大的區(qū)別在于，GET方法沒有請(qǐng)求內(nèi)容，而POST是有請(qǐng)求內(nèi)容的。POST請(qǐng)求最多用于向服務(wù)器發(fā)送大量的數(shù)據(jù)。GET雖然也能發(fā)送數(shù)據(jù)，但是有大小(長度)的限制，并且GET請(qǐng)求會(huì)將發(fā)送的數(shù)據(jù)顯示在瀏覽器端，而POST則不會(huì)，所以安全性相對(duì)來說高一點(diǎn)。例如，上傳文件、提交留言等，只要是向服務(wù)器傳輸大量的數(shù)據(jù)，通常都會(huì)使用POST請(qǐng)求。點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹HTTP協(xié)議介紹一個(gè)經(jīng)典的HTTPPOST請(qǐng)求如下:POST/login.phpHTTP/1.1Host:Content-Length:26Accept:text/html，application/xhtml+xml，application/xml;q=0.9，*/*;q=0.8Origin:User-Agent:Mozilla/5.0(WindowsNT6.1)AppleWebKit/537.17(KHTML，likeGecko)Chrome/24.0.1312.57Safari/537.17SE2.XmetaSr1.0Content-Type:application/x-www-form-urlencodedAccept-Language:zh-CN，zh;q=0.8Accept-Charset:GBK，utf-8;q=0.7，*;q=O.3

user=admins&pw=123456789用POST方法向服務(wù)器請(qǐng)求login.php，并且傳遞參數(shù)user=admins&pw=123456789。點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹HTTP協(xié)議介紹其他HTTP請(qǐng)求HEADHEAD方法除了服務(wù)器不能在響應(yīng)里返回消息主體外，其他都與GET方法相同。此方法經(jīng)常被用來測(cè)試超文本鏈接的有效性、可訪問性和最近的改變。攻擊者編寫掃描工具時(shí)，就常用此方法，因?yàn)橹粶y(cè)試資源是否存在，而不用返回消息主題，所以速度一定是最快的。一個(gè)經(jīng)典的HTTPHEAD請(qǐng)求如下:HEAD/index.phpHTTP/1.1HOST:點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本點(diǎn)擊添加文本第二章Web安全基礎(chǔ)知識(shí)介紹HTTP協(xié)議介紹