web应用安全与加速课程讲义VIP免费

Web应用安全与加速讲义1HTTP1.1HTTP报文HTTP报文是在HTTP应用程序之间发送的数据块（用于HTTP协议交互的信息）。请求端（客户端）的HTTP报文叫做请求报文，响应端（服务器端）的叫做响应报文。1.1.0Debug模式下的HTTP事务URL：https://edu.lagou.com/RemoteAddress：访问目标URL解析出来的IP地址，443：表示当前https协议。ReferrerPolicy:Referrer用户指明当前请求的来源页面，对于同源的请求，会发送完整的url作为引用地址，防盗链。accept：请求可以支持的响应格式列表信息accept-encoding：告知服务器本地浏览器支持是压缩方式sec-fetch-dest：期望获得什么类型的资源sec-fetch-mode：navigate，表示这是一个浏览器的页面切换请求sec-fetch-site：表示一个请求发起的来源和目标资源来源之间的关系，cross-site：跨域请求，same-origin：同源请求。sec-fetch-user：？1表示的trueupgrade-insecure-requests:1,表示当前浏览器告诉服务器，浏览器是可以处理https请求的，即使访问的https请求中又包含了其他的http请求。user-agent：描述浏览器的信息server：web应用程序部署的容器，openresty：封装了Nginx以及第三方的类库，Lua语言，redis等等。vary：accept-Encoding，告诉代理服务器缓存两种版本的资源（压缩、不压缩）1.1.1报文流动HTTP使用术语流入（inbound）和流出（outbound）来描述事务处理（transaction）的方向。报文流入源端服务器，工作完成之后，会流回用户的Agent代理中报文流入源端服务器并流回到客户端1.1.2报文的组成部分HTTP报文是简单的格式化数据块。每条报文都包含一条来自客户端的请求，或者一条来自服务器的响应。它们由三个部分组成：1.对报文进行描述的起始行（startline）2.包含属性的首部（header）块3.以及可选的包含数据的主体（body）部分（1）所有的HTTP报文都可以分为两类：请求报文（requestmessage）和响应报文（responsemessage）。请求报文会向Web服务器请求一个动作。响应报文会将请求的结果返回给客户端。请求和响应报文的基本报文结构相同。这是请求报文的格式：这是响应报文的格式（注意，只有起始行的语法有所不同）：（2）请求报文（3）响应报文（4）HTTP消息由采用ASCII编码的多行文本构成。在HTTP/1.1及早期版本中，这些消息通过连接公开地发送。在HTTP/2中，为了优化和性能方面的改进，曾经可人工阅读的消息被分到多个HTTP帧中。Web开发人员或网站管理员，很少自己手工创建这些原始的HTTP消息︰由软件、浏览器、代理或服务器完成。他们通过配置文件（用于代理服务器或服务器），API（用于浏览器）或其他接口提供HTTP消息。（5）HTTP请求和响应具有相似的结构，由以下部分组成︰1.一行起始行用于描述要执行的请求，或者是对应的状态，成功或失败，这个起始行总是单行的。2.一个可选的HTTP头集合指明请求或描述消息正文。3.一个空行指示所有关于请求的元数据已经发送完毕。4.一个可选的包含请求相关数据的正文(比如HTML表单内容)，或者响应相关的文档。正文的大小有起始行的HTTP头来指定。PUTHEADGETGETGEThttp://developer.mozilla.org/en-US/docs/Web/HTTP/MessagesHTTP/1.1CONNECTCONNECTdeveloper.mozilla.org:80HTTP/1.1OPTIONS*HTTP/1.1OPTIONS起始行和HTTP消息中的HTTP头统称为请求头，而其有效负载被称为消息正文。1.1.3HTTP请求（1）起始行HTTP请求是由客户端发出的消息，用来使服务器执行动作。起始行(start-line)包含三个元素：1.一个HTTP方法，一个动词([GET,或者POST)或者一个名词(像或者OPTIONS),描述要执行的动作.例如,示向服务器推送数据(创建或修改资源)。表示要获取资源，POST表2.请求目标(requesttarget)，通常是一个URL，或者是协议、端口和域名的绝对路径，通常以请求的环境为特征。请求的格式因不同的HTTP方法而异。它可以是：一个完整的URL，被称为绝对形式(absoluteform)，主要在使用方法连接到代理时使用。由域名和可选端口（以':'为前缀）组成的URL的authoritycomponent，称为authorityform。仅在使用道时才使用。建立HTTP隧星号形式(asteriskform)，一个简单的星号('*')，配合方法使用，代表整个服务器...