第一章 Web简介

kyowjw01

整个web的工作流程
1.前端：用户访问浏览器输入ip地址或者域名，浏览器向服务器发送请求；服务器返回请求，用户看到了想看的浏览器(网站)。
  后端：服务器提交数据给数据库；数据库将数据反馈给服务器。
2.客户端/前端安全所涉及的：钓鱼、暗链、XSS、点击劫持、CSRF、URL跳转等。
  服务器/后端安全所涉及的：SQL注入、命令注入、文件上传、文件包含、暴力破解等。

浏览器的工作流程
1.浏览器通过域名获取WEB服务器IP地址(DNS解析)。——这时浏览器才能找到WEB服务器
2.浏览器通过IP访问WEB服务器。
3.浏览器通过HTTP协议与WEB服务器通信。——a.浏览器发送HTTP请求。 b.服务器处理完数据后，会给浏览器一个HTTP响应。

URL统一资源定位符
浏览器和服务器都遵守URL格式，保障了浏览器通过URL找到特定的WEB资源。
URL的构造：
schema://               底层协议(例如：http，https，ftp)
host                        服务器的域名或者IP地址
:port                       服务器端口，HTTP默认端口是80(可省略)，其他端口要指明
path                       访问资源的路径
?query-string         发送给http服务器的数据
#anchor                 锚

http://www.udis.cn[:8080]/sj/test/test.jsp?name=sviergn&x=true#stuff
Schema      host       port  path                   Query String                 Anchor         

HTTP的报文
1.http请求
a.方式                Get、Post、...
b.地址                Host
c.代理                User-Agent
d.用户凭证         Cookie
2.http响应
HTTP200 + 正文
3.HTTP Request(GET) = 请求行(Request Line) + 头部(Headers) + (空行) + 数据体(Body)——Get请求无数据体
4.HTTP Request(POST)= 请求行POST + 用户的凭证(Cookie) + (空行) + 数据体(Body)——Content + parentID
5.HTTP Response = 状态行(status line) + 消息报头 + (空行)+ 响应正文

HTTP其他请求方式
HEAD                与GET请求类似，不同在于服务器只返回HTTP头部信息，没有页面内容。
PUT                   上传指定URL的描述
DELETE              删除指定资源
OPTIONS          返回服务器支持的HTTP方法
Referer             a.告知服务器该请求的来源(浏览器自动加上) b.统计流量——CNZZ、百度统计等 c.判断来源的合法性——防止倒链、防止CSRF漏洞等

其他
HTTP Response = 跳转状态码(301/302)+ Set-Cookie(服务器要求浏览器设置Cookie) + Location(跳转到地址)