Web應(yīng)用安全技術(shù)原理與實(shí)踐 課件 第1章 Web應(yīng)用概述

Web應(yīng)用安全第一章概述本章要求1了解Web技術(shù)產(chǎn)生的歷史背景2理解Web技術(shù)基本原理3理解課程的目標(biāo)和教學(xué)內(nèi)容4理解課程的教學(xué)方法和相關(guān)要求2互聯(lián)網(wǎng)解決的基本問(wèn)題是什么？3完成計(jì)算機(jī)網(wǎng)絡(luò)課程的學(xué)習(xí)后，請(qǐng)同學(xué)們回顧內(nèi)容，回答下面一個(gè)基本問(wèn)題：基本問(wèn)題：實(shí)現(xiàn)計(jì)算機(jī)之間的互聯(lián)互通，構(gòu)建網(wǎng)絡(luò)基礎(chǔ)設(shè)施（建網(wǎng)問(wèn)題）1969年，ARPANET誕生4如何利用互聯(lián)網(wǎng)的互聯(lián)互通能力，實(shí)現(xiàn)有價(jià)值的應(yīng)用呢？網(wǎng)絡(luò)應(yīng)用程序開(kāi)發(fā)5互聯(lián)網(wǎng)典型應(yīng)用FTP：FileTransferProtocol，1971年，RFC114近半個(gè)世紀(jì)來(lái)，F(xiàn)TP一直都是因特網(wǎng)中最重要、最廣泛的網(wǎng)絡(luò)應(yīng)用程序之一電子郵件，1972年電子郵件已經(jīng)成為互聯(lián)網(wǎng)中非常廣泛的網(wǎng)絡(luò)應(yīng)用程序之一新聞組，1979年，分布式的網(wǎng)上討論組網(wǎng)絡(luò)新聞組現(xiàn)在應(yīng)用還非常廣泛，不過(guò)該服務(wù)一般不是免費(fèi)的遠(yuǎn)程登錄，1983年，RFC854遠(yuǎn)程登錄應(yīng)用技術(shù)不斷發(fā)展和應(yīng)用，當(dāng)前SSH（SecureShell）由于其安全性強(qiáng)等特點(diǎn)成為主流的遠(yuǎn)程登錄應(yīng)用6互聯(lián)網(wǎng)典型應(yīng)用7互聯(lián)網(wǎng)典型應(yīng)用分析早期互聯(lián)網(wǎng)經(jīng)典應(yīng)用主要使用人群是專業(yè)人員，主要應(yīng)用領(lǐng)域是教學(xué)和科研領(lǐng)域，普通用戶對(duì)早期互聯(lián)網(wǎng)應(yīng)用需求不大。第一次互聯(lián)網(wǎng)浪潮時(shí)間區(qū)間：約上世紀(jì)70年代-90年代關(guān)鍵事件：世界范圍網(wǎng)絡(luò)互聯(lián)互通1994年，中國(guó)連接互聯(lián)網(wǎng)結(jié)論1真正讓普通用戶感受互聯(lián)網(wǎng)的魅力的應(yīng)用第二次互聯(lián)網(wǎng)浪潮時(shí)間區(qū)間：約上世紀(jì)90年代-21世紀(jì)10年代關(guān)鍵事件：Web的出現(xiàn)和普及結(jié)論28Web技術(shù)簡(jiǎn)史1984年：Tim正式入職CERN，職責(zé)是信息管理WorldWideWebTimBerners-Lee世界各地的物理學(xué)家需要分享實(shí)驗(yàn)數(shù)據(jù)和相關(guān)實(shí)驗(yàn)經(jīng)驗(yàn)，但是缺乏機(jī)器和軟件CERN是歐洲最大的互聯(lián)網(wǎng)節(jié)點(diǎn)；TCP/IP協(xié)議軟件已經(jīng)免費(fèi)使用1989年3月：第一次項(xiàng)目申請(qǐng)，但是失敗了……1990年5月：第二次項(xiàng)目申請(qǐng)，還是失敗了……××××××核心思想：互聯(lián)網(wǎng)+超文本W(wǎng)eb技術(shù)的誕生歐洲核子研究組織9Web技術(shù)簡(jiǎn)史Web技術(shù)的誕生1990年9月：NEXT電腦到位，Tim開(kāi)始為夢(mèng)想工作千里馬常有，而伯樂(lè)不常有，還好有MikeSendall1990年圣誕節(jié)：Web所需要的組件開(kāi)發(fā)完畢HyperTextTransferProtocol(HTTP)0.9HyperTextMarkupLanguage(HTML),Webbrowser(WorldWideWeb/Webeditor)HTTPserversoftware(CERNhttpd)第一個(gè)Web網(wǎng)址：info.cern.ch解決了網(wǎng)絡(luò)內(nèi)容發(fā)布平臺(tái)問(wèn)題1011Web技術(shù)原理瀏覽器、HTTP協(xié)議、Web服務(wù)器、靜態(tài)Web網(wǎng)頁(yè)Web1.0瀏覽器、HTTP協(xié)議、Web服務(wù)器、靜態(tài)Web網(wǎng)頁(yè)、動(dòng)態(tài)Web網(wǎng)頁(yè)（Web應(yīng)用程序）、數(shù)據(jù)庫(kù)等資源Web2.012Web前端Web前端是向Web服務(wù)器資源請(qǐng)求，并將響應(yīng)的Web網(wǎng)頁(yè)信息進(jìn)行展示或處理的應(yīng)用程序，如瀏覽器、網(wǎng)絡(luò)爬蟲(chóng)、AJAX請(qǐng)求等瀏覽器按照網(wǎng)頁(yè)描述的格式顯示網(wǎng)頁(yè)內(nèi)容微軟公司IE瀏覽器Edge瀏覽器免費(fèi)開(kāi)源Firefox瀏覽器谷歌公司Chrome瀏覽器蘋(píng)果公司Safari瀏覽器網(wǎng)景公司（Netscape）Navigator瀏覽器13Web前端Web網(wǎng)頁(yè)-HTML語(yǔ)言HTML語(yǔ)言即超文本標(biāo)記語(yǔ)言，它通過(guò)標(biāo)簽來(lái)標(biāo)記不同的信息，主要用于描述Web網(wǎng)頁(yè)中的展示信息，如文字、圖像、音頻、視頻等信息1990年，吸收了SGML（StandardGeneralizedMarkupLanguage）思想，創(chuàng)立HTML語(yǔ)言1995年，HTML2.0版本，1997年，HTML3.2版本，1997年，HTML4.0版本發(fā)布（引入CSS）問(wèn)題1：語(yǔ)法規(guī)則嚴(yán)謹(jǐn)；問(wèn)題2：遇到錯(cuò)誤時(shí)，瀏覽器如何恢復(fù)2000年，發(fā)布XHTML1.0；2009年，放棄XHTML2.02014年，W3C發(fā)布了HTML5的規(guī)范，規(guī)范目前還在持續(xù)完善中14Web前端Web網(wǎng)頁(yè)-CSS層疊樣式表CSS（CascadingStyleSheets）為HTML標(biāo)記語(yǔ)言提供了一種樣式描述，定義了其中元素的顯示方式早期的HTML語(yǔ)言沒(méi)有元素顯示方式的表示能力，后期添加了元素顯示方式的表示能力，但是元素表示和元素顯示方式混編在一起，帶來(lái)了很多的不便1994年，HkonWiumLie最初提出了CSS想法，并聯(lián)合BertBos一起創(chuàng)造了CSS的最初版本1996年底，W3C發(fā)布了CSS規(guī)范第一版，并于1997年頒布CSS1.0版1998年5月，CSS2.0版本正式發(fā)布，2005年12月，W3C啟動(dòng)CSS3.0版本的研發(fā)15Web前端Web網(wǎng)頁(yè)-JavaScript語(yǔ)言對(duì)于Web應(yīng)用而言，JavaScript語(yǔ)言通過(guò)瀏覽器執(zhí)行，完成與用戶以及和遠(yuǎn)程服務(wù)器的交互功能。在早期的Web技術(shù)應(yīng)用過(guò)程中，用戶輸入數(shù)據(jù)都會(huì)被傳到服務(wù)器端進(jìn)行驗(yàn)證，而當(dāng)時(shí)的互聯(lián)網(wǎng)用戶的網(wǎng)速很慢，這使得用戶的體驗(yàn)效果不好動(dòng)機(jī)分析Netscape公司的布蘭登.艾奇（BrendanEich）設(shè)計(jì)并開(kāi)發(fā)了一種新的腳本語(yǔ)言LiveScript，1995年2月正式發(fā)布時(shí)，更名為JavaScript語(yǔ)言1997年，ECMA（EuropeanComputerManuafacturersAssociation，歐洲計(jì)算機(jī)制造協(xié)會(huì)）以JavaScript1.1為藍(lán)本，定義了一種新的腳本語(yǔ)言ECMAScript2015年6月，ECMAScript6版本發(fā)布16Web服務(wù)器端Web服務(wù)器Web服務(wù)器是響應(yīng)瀏覽器等Web前端請(qǐng)求的服務(wù)程序，也稱為WWW服務(wù)器Apache服務(wù)器是Apache軟件基金會(huì)開(kāi)放源碼的Web服務(wù)器，由于其多平臺(tái)和安全性被廣泛使用，是最流行的Web服務(wù)器Tomcat服務(wù)器是一個(gè)免費(fèi)的開(kāi)放源代碼的Web應(yīng)用服務(wù)器，屬于輕量級(jí)Web服務(wù)器，是開(kāi)發(fā)和調(diào)試JSP程序的首選。IIS是由微軟公司提供的互聯(lián)網(wǎng)基本服務(wù)，包括Web服務(wù)器、FTP服務(wù)器、NNTP服務(wù)器和SMTP服務(wù)器等。Nginx是由伊戈?duì)枴べ愃饕蜷_(kāi)的輕量級(jí)Web服務(wù)器，同時(shí)也是反向代理服務(wù)器和電子郵件代理服務(wù)器。17Web服務(wù)器端Web應(yīng)用程序Web應(yīng)用程序是對(duì)Web服務(wù)器功能的擴(kuò)展，它是通過(guò)Web服務(wù)器啟動(dòng)運(yùn)行的應(yīng)用程序，一般通過(guò)腳本語(yǔ)言來(lái)實(shí)現(xiàn)編程采用PHP語(yǔ)言，網(wǎng)站占比約80%，目前最高版本是8，開(kāi)源免費(fèi)，支持面向?qū)ο缶幊?。（JavaServerPages）采用JAVA語(yǔ)言，網(wǎng)站占比約3.6%，SUN公司主導(dǎo)，支持面向?qū)ο缶幊獭?（ActiveServerPages.NET）采用.NET兼容語(yǔ)言（如C#），網(wǎng)站占比約8.4%，Miscrosoft公司主導(dǎo)，支持面向?qū)ο缶幊獭?8Web服務(wù)器端數(shù)據(jù)庫(kù)其他操作系統(tǒng)、文件系統(tǒng)、網(wǎng)絡(luò)資源、……數(shù)據(jù)庫(kù)（database，DB）是指長(zhǎng)期存儲(chǔ)在計(jì)算機(jī)內(nèi)的，有組織，可共享的數(shù)據(jù)的集合，管理數(shù)據(jù)庫(kù)的系統(tǒng)稱為數(shù)據(jù)庫(kù)系統(tǒng)。19HTTP協(xié)議Web客戶端和服務(wù)器端的通信采用的是HTTP協(xié)議（HyperTextTranferProtocol）。HTTP協(xié)議下層使用TCP協(xié)議來(lái)傳輸數(shù)據(jù)，從而保證數(shù)據(jù)的可靠性。1991年，HTTP協(xié)議的第一個(gè)規(guī)范文檔發(fā)布，被稱為HTTP/0.9。只支持GET方法，Web客戶端只支持ASCII文本，服務(wù)器使用HTML格式的消息進(jìn)行響應(yīng)。1996年5月，HTTP/1.0發(fā)布--RFC1945。除了GET方法外，還支持HEAD和POST方法、HTTP協(xié)議版本號(hào)信息、HTTP首部信息、多媒體對(duì)象的處理1997年1月，HTTP/1.1版本發(fā)布，它支持持久的keep-alive連接、管道化技術(shù)、虛擬Web服務(wù)器、代理連接等。1999年6月被修訂為RFC2616。2014年6月再次修訂，包括RFC7230-RFC7235，2022年6月，RFC7230修訂為RFC91122015年5月，HTTP2.0標(biāo)準(zhǔn)發(fā)布，對(duì)應(yīng)RFC7540，2022年6月修訂為RFC9113；2022年6月，HTTP3.0標(biāo)準(zhǔn)發(fā)布，對(duì)應(yīng)RFC911420面向?qū)ο缶幊毯途幊棠Ｊ矫嫦驅(qū)ο缶幊蹋∣bjectOrientedProgramming，OOP）是作用計(jì)算機(jī)編程架構(gòu)，它的一條基本原則是計(jì)算機(jī)程序由單個(gè)能夠起到子程序作用的單元或?qū)ο蠼M合而成面向?qū)ο笾饕攸c(diǎn)封裝性：將對(duì)象的成員屬性和成員方法結(jié)合成一個(gè)獨(dú)立的單元，以隱蔽對(duì)象的內(nèi)部細(xì)節(jié)繼承性：一個(gè)新的派生類時(shí)，從一個(gè)先前定義的類中繼承屬性和方法，同時(shí)可以重新定義或加進(jìn)新的屬性和方法，從而建立類之間的層次或等級(jí)關(guān)系多態(tài)：同一類的同一成員方法輸入不同類型的參數(shù)，或者具有繼承關(guān)系的類多個(gè)類對(duì)同一成員方法，可以有不同的行為和實(shí)現(xiàn)面向?qū)ο蠖x針對(duì)PHP語(yǔ)言21面向?qū)ο缶幊毯蚆VC模式MVC模式視圖（View）表示用戶交互界面，簡(jiǎn)單來(lái)說(shuō)，就是HTML文檔界面模型（Model）是Web應(yīng)用系統(tǒng)的業(yè)務(wù)流程，是系統(tǒng)設(shè)計(jì)的核心控制器（Controller）作用可以理解為接收操作請(qǐng)求，并將模型和視圖關(guān)聯(lián)在一起，完成操作請(qǐng)求并顯示操作請(qǐng)求的結(jié)果XeroxPRAC（施樂(lè)帕克研究中心）在20世紀(jì)80年代為編程語(yǔ)言Smalltalk-80而發(fā)明的一種軟件設(shè)計(jì)模式。采用MVC模式可以將程序的輸入、處理和輸出分開(kāi)，各個(gè)模塊可以各自獨(dú)立完成，非常方便實(shí)現(xiàn)項(xiàng)目的分工合作。22典型Web應(yīng)用Web1.0時(shí)代門(mén)戶網(wǎng)站由于其信息比較全面（一般包含網(wǎng)站黃頁(yè)系統(tǒng)）而得到用戶的青睞，如Yahoo、搜狐、新浪、網(wǎng)易Web1.0時(shí)代也稱為門(mén)戶網(wǎng)站時(shí)代23典型Web應(yīng)用Web2.0時(shí)代用戶除了可以通過(guò)Web系統(tǒng)獲取信息外，還高度參與Web系統(tǒng)中的信息發(fā)布博客的流行是Web2.0時(shí)代到來(lái)的標(biāo)志1997年12月，出現(xiàn)web