主頁 >  其他 > 《圖解http》讀書筆記

《圖解http》讀書筆記

2022-01-17 18:58:09 其他

1 了解Web & 網路基礎

1.1 WWW(World Wide Web,萬維網)

  • 3項WWW構建技術
    ①把SGML(通用標記語言)作為頁面的文本標記語言的HTML(HyperText Markup Language,超文本標記語言);
    ②作為檔案傳遞協議的HTTP;
    ③指定檔案所在地的URL(Uniform Resource Locator,統一資源定位符),

1.2 網路基礎TCP/IP協議簇

通常使用的網路(包括互聯網)是在TCP/IP協議族的基礎上運作的,而HTTP屬于它內部對的一個子集,
在這里插入圖片描述

  • TCP/IP的分層管理

四層應用層、傳輸層、網路層和資料鏈路層
在這里插入圖片描述
在這里插入圖片描述

  • 負責傳輸的IP協議(Internet Protocol)

位于網路層,傳送資料包;
兩個重要條件:IP地址和MAC地址,

在這里插入圖片描述

  • 確保可靠性的TCP(Transmission Control Protocol,傳輸控制協議)

傳輸層,提供可靠的位元組流服務;
vs UDP(User Data Protocol,用戶資料報協議);
三次握手 - 確保資料能到達目標

在這里插入圖片描述

  • 負責域名決議的DNS服務(Domain Name System)

    提供域名到IP地址之間的決議服務(通過域名查找IP地址,或逆向),

  • 各種協議與HTTP協議的關系
    在這里插入圖片描述

2 About HTTP

2.1 簡單的HTTP協議(HTTP協議結構)
  • 請求報文

在這里插入圖片描述

  • 回應報文

在這里插入圖片描述

  • 告知服務器意圖的HTTP方法

在這里插入圖片描述

  • HTTP是不保存狀態的協議,即無狀態協議,可以使用Cookie進行狀態管理,

在這里插入圖片描述

  • HTTP/1.1:持久連接→管線化
    持久連接使得多數請求以管線化方式發送成為可能(從前發送請求后需等待并收到回應,才能發送下一個請求),
    HTTP1.0、HTTP1.1 和 HTTP2.0 的區別
    一文讀懂 HTTP/1HTTP/2HTTP/3
2.2 HTTP報文內的HTTP資訊
  • HTTP報文
    HTTP報文大致可分為 (1)報文首部 和 (2)報文主體 兩塊,(通常并不一定要有報文主體),

在這里插入圖片描述
在這里插入圖片描述
報文主體和物體主體的差異(物體主體?報文主體)

  • 報文(message)
    HTTP通信中的基本單位,由8位組位元組流(octet sequence,其中octet為8個位元)組成,通過HTTP通信傳輸,
    (以位元組為單位的意思, 1 byte(位元組)=8 bit(位))
  • 物體(entity)
    作為請求或回應的有效載荷資料(補充項)被傳輸,其內容由物體首部和物體主體組成,

http報文和物體的差別?

在這里插入圖片描述在這里插入圖片描述

  • 編碼提升傳輸效率

    ①壓縮傳輸的內容編碼

在這里插入圖片描述
②分割發送的分塊傳輸編碼

在這里插入圖片描述

2.3 回傳結果的HTTP狀態碼
  • 狀態碼的五大類別
類別原因短語
1XXInformational
(資訊性狀態碼)
接收的請求正在處理
2XXSuccess
(成功狀態碼)
請求正常處理完畢
3XXRedirection
(重定向狀態碼)
需要進行附加操作以完成請求
4XXClient Error
(客戶端錯誤狀態碼)
服務器無法處理請求
5XXServer Error
(服務器錯誤狀態碼)
服務器處理請求出錯
  • 具體狀態碼
    100、101、200、204、206、301、302、303、304、307、400、401、403、404、500、502、503…
狀態碼
(狀態碼英文名稱)
詳解
100
(Continue)
繼續,客戶端應繼續其請求,如果服務器收到頭資訊中帶有100-continue的請求,這是指客戶端詢問是否可以在后續的請求中發送附件,在這種情況下,服務器用100(SC_CONTINUE)允許客戶端繼續或用417 (Expectation Failed)告訴客戶端不同意接受附件,這個狀態碼是 HTTP 1.1中新加入的,
101
(Switching Protocols)
切換協議,服務器根據客戶端的請求切換協議,當客戶端通過在請求里使用Upgrade報頭,以通知服務器它想改用除HTTP協議之外的其他協議時,客戶端將獲得此回應代碼,101回應代碼表示“行,我現在改用另一個協議了”,
200
(OK)
在這里插入圖片描述
請求成功,一般用于GET與POST請求
204
(No Content)
在這里插入圖片描述
無內容,服務器成功處理,但未回傳內容,在未更新網頁的情況下,可確保瀏覽器繼續顯示當前檔案
206
(Partial Content)
在這里插入圖片描述
該狀態碼表示客戶端進行范圍請求,服務器成功執行GET請求,回應報文中包含Content-Range指定范圍的物體內容,
301
(Moved Permanently)
在這里插入圖片描述
xx永久性重定向,請求的資源已被永久的移動到新URI,回傳資訊會包括新的URI,瀏覽器會自動定向到新URI,今后任何新的請求都應使用新的URI代替,(需要更新書簽)
302
(Found)
在這里插入圖片描述
臨時性重定向,與301類似,但資源只是臨時被移動,客戶端應繼續使用原有URI,(不會更新書簽)
303
(See Other)
在這里插入圖片描述
與302類似,區別是明確表示客戶端應使用GET方法定向獲取請求的資源,
ps: 301、302標準是禁止將POST改為GET的,但是實際上幾乎所有的瀏覽器都會這么改,
304
(Not Modified)
在這里插入圖片描述
未修改,所請求的資源未修改,服務器回傳此狀態碼時,不會回傳任何資源,客戶端通常會快取訪問過的資源,通過提供一個頭資訊指出客戶端希望只回傳在指定日期之后修改的資源.
307
(Temporary Redirect)
/
與302類似,區別是不會從POST變成GET
400
(Bad Request)
在這里插入圖片描述
請求報文中存在語法錯誤,需修改請求內容中再次發送,
401
(Unauthorized)
在這里插入圖片描述
表示發送的請求需要有通過HTTP認證(BASIC認證、DIGEST認證)的認證資訊,
回傳401必須包含一個適用請求資源的WWW-Authenticate首部用以質詢用戶資訊,初次接受會彈出認證對話視窗,
403
(Forbidden)
在這里插入圖片描述
表明對請求的資源的訪問被服務器拒絕了 .
404
(Not Found)
在這里插入圖片描述
表明服務器上無法找到請求的資源.
500
(Internal Server Error)
在這里插入圖片描述
表明服務器端執行請求時發生了錯誤.
502
(Bad Gateway)
/
作為網關或者代理作業的服務器嘗試執行請求時,從遠程服務器接收到了一個無效的回應
503
(Service Unavailable)
在這里插入圖片描述
由于超載或系統維護,服務器暫時的無法處理客戶端的請求,延時的長度可包含在服務器的Retry-After頭資訊中
2.4 與HTTP協作的Web服務器

2.4.1 用單臺虛擬主機實作多個域名

在這里插入圖片描述

2.4.2 通信資料轉發程式:代理、網關、隧道

①代理:代理是一種有轉發功能的應用程式,接收從客戶端發送來的請求并轉發給服務器,反之,接收服務器的回應轉發給客戶端,

在這里插入圖片描述

②網關:網關是轉發其他服務器通信資料的服務器,接收從客戶端發送來的請求并對請求進行處理,
其作業機制與代理十分相似,而網關能使通信線路上的服務器提供非HTTP協議服務,
提高安全性,客戶端 - 加密 - 網關,
在這里插入圖片描述
③隧道:在相隔甚遠的客戶端和服務器兩者之間建立通信路線 ,并保持雙方通信連接的應用程式,
在這里插入圖片描述
2.4.3 保存資源的快取

在這里插入圖片描述

2.5 HTTP首部
  • 4種HTTP首部欄位型別
    ①通用首部欄位
    請求保溫和回應報文兩方都會使用的首部,
    ②請求首部欄位
    從客戶端向服務器端發送請求報文時使用的首部,補充了請求的附加內容、客戶端資訊、回應內容相關優先級等資訊,
    ③回應首部欄位
    從服務器端向客戶端回傳回應報文時使用的首部,補充了回應的附加內容,也會要求客戶端附加額外的內容資訊,
    ④物體首部欄位
    針對請求報文和回應報文的物體部分使用的首部,補充了資源內容更新時間等與物體有關的資訊,

1. HTTP/1.1規范定義了如下47種首部欄位,

通用首部欄位

首部欄位名說明
Cache-Control 控制快取的行為
Connection 逐跳首部,連接的管理
Date創建HTTP報文的日期時間,
Pragma 報文指令
Trailer 報文末端的首部一覽
Transfer-Encoding指定報文主體的傳輸編碼方式
Upgrade 升級為其他協議
Via 代理服務器的相關資訊
Warning 錯誤通知

請求首部欄位

首部欄位名說明
Accept 用戶代理可處理的媒體型別
Accept-Charset 優先的字符集
Accept-Encoding 優先的內容編碼
Accept-Language 優先的語言(自然語言)
AuthorizationWeb認證資訊
Expect期待服務器的特定行為
From用戶的電子郵箱地址
Host請求資源所在服務器
if-Match 比較物體標記(ETag)
if-Modified-Since 比較資源的更新時間
if-None-Match 比較物體標記(與if-Match相反)
if-Range 資源未更新時發送物體Byte的范圍請求
if-Unmodified-Since 比較資源的更新時間(與if-Modified-Since相反)
Max-Forwards 最大傳輸逐跳數
Proxy-Authorization代理服務器要求客戶端的認證資訊
Range物體的位元組范圍請求
Referer對請求中URI的原始獲取方
TE 傳輸編碼的優先級
User-AgentHTTP客戶端程式的資訊

回應首部欄位

首部欄位名說明
Accept-Ranges 是否接受位元組范圍請求
Age推算資源創建經過時間
ETag 資源的匹配資訊
LOcation 令客戶端重新定向至指定的URI
Proxy-Authenticate代理服務器對客戶端的認證資訊
Retry-After 對再次發起請求的時機要求
Server HTTP服務器的安裝資訊
Vary 代理服務器快取的管理資訊
WWW-Authenticate 服務器對客戶度端的認證資訊

物體首部欄位

首部欄位名說明
Allow 資源可支持的HTTP方法
Content—Encoding 物體主體適用的內容編碼方式
Content-Language物體主體的自然語言
Content-Length 物體主體部分的大小(單位:位元組)
Content-Location 替代對應資源的URI
Content-MD5 物體主體的報文摘要
Content-Range 物體主體的位置范圍
Context-Type 物體主體的媒體型別
Expires 物體主體過期的日期時間
Last-Modified資源的最后修改日期時間

2. 為Cookie服務的首部欄位

首部欄位名說明首部型別
Set Cookie開始狀態管理所使用的Cookie資訊回應首部欄位
Cookie服務器接收到的Cookie資訊請求首部欄位

在這里插入圖片描述在這里插入圖片描述
3. 其他首部欄位

  • X-Frame-Options:X-Frame-Options:回應首部,用于控制網站內容在其他Web網站Frame標簽內的顯示問題,主要目的是為了防止點擊劫持攻擊,
    欄位值:DENY(拒絕),SAMEORIGIN(僅同源名下的頁面匹配時可許),
  • X-XSS-Protection:回應首部,是針對跨站腳本攻擊(XSS)的一種對策,用于控制瀏覽器XSS防護機制的開關,
    欄位值:0(將XSS過濾設定成無效狀態),1(將XSS設定成有效狀態)
  • DNT:請求首部,是Do Not Track的簡稱,意為拒絕個人資訊收集,表示拒絕被精準廣告收集
    欄位值:0(同意被追蹤),1(拒絕被追蹤),
  • P3P:回應首部,通過P3P技術,可以讓Web網站的個人隱私變成一種僅供程式理解的形式,達到保護用戶隱私的目的,
    步驟:①創建P3P隱私;②創建PSP隱私對照檔案后,保存命名/w3c/p3p.xml;③從P3P隱私中新建Compact policies后,輸出到HTTP回應中,

3 About HTTPS - 確保Web安全的HTTPS

  1. HTTP的缺點
  • 通信使用明文可能會被竊聽(TCP/IP是可能本竊聽的網路)
  • 不驗證通信方的身份就可能遭遇偽裝
  • 無法證明報文完整性,可能已遭篡改
  1. HTTP + 加密 + 認證 + 完整性保護 = HTTPS
  • HTTPS是身披SSL外殼的HTTP(通信的加密)

  • 相互交換密鑰的公開密鑰加密技術(SSL采用這種 內容的加密 方式)

    使用兩把密鑰的公開密鑰加密:
    使用兩把密鑰的公開密鑰加密

  • 證明公開密鑰正確性的證書
    使用由數字證書認證機構(CA, Certificate Authority)和其相關機關頒發的公開密鑰證書,
    在這里插入圖片描述

  1. HTTPS的安全通信機制

在這里插入圖片描述

4 Web攻擊技術

  1. 針對 Web 的攻擊技術
  • HTTP 不具備必要的安全功能
  • 在客戶端即可篡改請求

在這里插入圖片描述

  • 針對 Web 應用的攻擊模式(主動攻擊&被動攻擊)

在這里插入圖片描述
在這里插入圖片描述

  1. 因輸出值轉義不完全引發的安全漏洞
  • 跨站腳本攻擊(Cross-Site Scripting,XSS)
    是指通過存在安全漏洞的 Web 網站注冊用戶的瀏覽器內運行非法的HTML 標簽或 JavaScript 進行的一種攻擊,
    是攻擊者利用預先設定的陷阱觸發的被動攻擊,

  • SQL注入攻擊(會執行非法 SQL)
    是指標對 Web 應用使用的資料庫,通過運行非法的 SQL 而產生的攻擊,

  • OS命令注入攻擊
    是指通過 Web 應用,執行非法的作業系統命令達到攻擊的目的,

  • http首部注入攻擊
    HTTP 首部注入攻擊(HTTP Header Injection)是指攻擊者通過在回應首部欄位內插入換行,添加任意回應首部或主體的一種攻擊,
    屬于被動攻擊模式,
    HTTP 首部注入攻擊有可能會造成以下一些影響,
    設定任何 Cookie 資訊、重定向至任意 URL、顯示任意的主體(HTTP 回應截斷攻擊)

  • 郵件首部注入攻擊
    是指 Web 應用中的郵件發送功能,攻擊者通過向郵件首部 To 或 Subject 內任意添加非法內容發起的攻擊,利用存在安全漏洞的 Web 網站,可對任意郵件地址發送廣告郵件或病毒郵件,

  • 目錄遍歷攻擊
    是指對本無意公開的檔案目錄,通過非法截斷其目錄路徑后,達成訪問目的的一種攻擊,這種攻擊有時也稱為路徑遍歷(Path Traversal)攻擊,

  • 遠程檔案包含漏洞
    是指當部分腳本內容需要從其他檔案讀入時,攻擊者利用指定外部服務器的 URL 充當依賴檔案,讓腳本讀取之后,就可運行任意腳本的一種攻擊,

  1. 因設定或設計上的缺陷引發的安全漏洞
  • 強制瀏覽
    從安置在 Web 服務器的公開目錄下的檔案中,瀏覽那些原本非自愿公開的檔案,

  • 不正確的錯誤訊息處理
    eg:畫面提示“郵件地址未注冊”的錯誤訊息,當輸入的郵件地址尚未在該 Web 網站上注冊時,就會觸發 這條錯誤訊息,因為倘若郵件地址存在,應該會提示“輸入的密碼有誤”之類的錯誤訊息,攻擊者利用進行不同的輸入會提示不同的錯誤資訊這條,就可用來確認輸入的郵件地址是否已在這個Web 網站上注冊過了,
    為了不讓錯誤訊息給攻擊者以啟發,建議將提示訊息的內容僅保留到“認證錯誤”這種程度即可,

  • 開放重定向
    而于此功能相關聯的安全漏洞是指,假如指定的重定向 URL 到某個具有惡意的 Web 網站,那么用戶就會被誘導至那個 Web 網站,
    eg:http://example.com/?redirect=http://www.tricorder.jp
    攻擊:http://example.com/?redirect=http://hackr.jp
    用戶看到 URL 后原以為訪問 example.com,不料實際上被誘導至 hackr.jp 這個指定的重定向目標,可信度高的 Web 網站如果開放重定向功能,則很有可能被攻擊者選中并用來作為釣魚攻擊的跳板,

  1. 因會話管理疏忽引發的安全漏洞
  • 會話劫持
    對以竊取目標會話 ID 為主動攻擊手段的會話劫持而言,會話固定攻擊(Session Fixation)攻擊會強制用戶使用攻擊者指定的會話 ID,屬于被動攻擊,

在這里插入圖片描述

  • 會話固定攻擊

在這里插入圖片描述

  • 跨站點請求偽造
    跨站點請求偽造(Cross-Site Request Forgeries,CSRF)攻擊是指攻擊者通過設定好的陷阱,強制對已完成認證的用戶進行非預期的個人資訊或設定資訊等某些狀態更新,屬于被動攻擊,

在這里插入圖片描述

  1. 其他安全漏洞
  • 密碼破解(窮舉法、字典攻擊)
    從加密過的資料中匯出明文通常有以下幾種方法:通過窮舉法·字典攻擊進行類推、彩虹表、拿到密鑰、加密演算法的漏洞
  • 點擊劫持
    是指利用透明的按鈕或鏈接做成陷阱,覆寫在 Web 頁面之上,然后誘使用戶在不 知情的情況下,點擊那個鏈接訪問內容的一種攻擊手段,
  • DoS攻擊
    是一種讓運行中的服務呈停止狀態的攻擊,
    主要有以下兩種 DoS 攻擊方式:①集中利用訪問請求造成資源過載,資源用盡的同時,實際上服務也就呈停止狀態;②通過攻擊安全漏洞使服務停止,
    其中,集中利用訪問請求的 DoS 攻擊,單純來講就是發送大量的合法請求,服務器很難分辨何為正常請求,,何為攻擊請求,因此很難防止 DoS 攻擊,
  • 后門程式
    是指開發設定的隱藏入口,可不按正常步驟使用受限功能,利用后門程式就能夠使用原本受限制的功能,
    通常的后門程式分為以下 3 種型別:開發階段作為 Debug 呼叫的后門程式、開發者為了自身利益植入的后門程式、攻擊者通過某種方法設定的后門程式,’
    可通過監視行程和通信的狀態發現被植入的后門程式,但設定在 Web 應用中的后門程式,由于和正常使用時區別不大,通常很難發現,

5 其他

5.1 確認訪問用戶身份的認證
  1. Basic認證
    ①客戶端發起請求
    → ②服務端回傳401+WWW-Authenticate首部欄位(認證的方式(BASIC)+Request-URL安全域字串(realm))
    → ③客戶端發生送用戶名密碼
    → ④服務器驗證+回傳資源

  2. DIGEST認證
    ①客戶端發起請求
    → ②服務端回傳401+WWW-Authenticate首部欄位(認證的方式(DIGEST)+質問回應的方式認證所需的臨時質詢碼(亂數nonce)+realm)
    → ③客戶端請求(首部欄位Authorization (必須包含username,realm,none從,uri和response的欄位資訊)
    → ④服務器驗證+回傳資源

  3. SSL客戶端認證

  • 采用雙因素認證:SSL客戶端證書+密碼(用戶本人行為)
  • 有必要的費用
  1. 基于表單認證
  • 一般會使用Cookie來管理Session(會話),
    在這里插入圖片描述
5.2 基于HTTP的功能追加協議
  1. HTTP的瓶頸
  • ①一條連接上只可發送一個請求

  • ②請求只能從客戶端開始,客戶端不可以接收除回應以外的指令

  • ③請求/回應首部未經壓縮就發送,資訊越多延遲越大

  • ④發送冗長的首部,相同首部會浪費

  • ⑤可任意選擇資料壓縮格式,非強制壓縮發送

  1. Ajax的解決辦法
    Ajax 的核心技術是名為 XMLHttpRequest 的 API,通過 JavaScript 腳本語言的呼叫就能和服務器進行 HTTP 通信,借由這種手段,就能從已加載完畢的 Web 頁面上發起請求,只更新區域頁面,而利用 Ajax 實時地從服務器獲取內容,有可能會導致大量請求產生,另外, Ajax 仍未解決 HTTP 協議本身存在的問題,

  2. Comet 的解決方法
    一旦服務器端有內容更新了, Comet 不會讓請求等待,而是直接給客戶端回傳回應,這是一種通過延遲應答,模擬實作服務器端向客戶端推送(Server Push)的功能,通常,服務器端接收到請求,在處理完畢后就會立即回傳回應,但為了實作推送功能, Comet 會先將回應置于掛起狀態,當服務器端有內容更新時,再回傳該回應,因此,服務器端一旦有更新,就可以立即反饋給客戶端,內容上雖然可以做到實時更新,但為了保留回應,一次連接的持續時間也變長了,期間,為了維持連接會消耗更多的資源,另外, Comet 也仍未解決 HTTP 協議本身存在的問題,

  3. SPDY的設計與功能
    在TCP/IP的應用層與運輸層之間通過新加會話層的形式運作,同時通信使用SSL,
    在這里插入圖片描述
    使用 SPDY 后,HTTP 協議額外獲得以下功能:
    多路復用流
    通過單一的 TCP 連接,可以無限制處理多個 HTTP 請求,所有請求的處理都在一條 TCP 連接上完成,因此TCP 的處理效率得到提高,
    賦予請求優先級
    SPDY 不僅可以無限制地并發處理請求,還可以給請求逐個分配優先級順序,這樣主要是為了在發送多個請求時,解決因帶寬低而導致回應變慢的問題,
    壓縮HTTP首部
    壓縮 HTTP 請求和回應的首部,這樣一來,通信產生的資料包數量和發送的位元組數就更少了,
    推送功能
    支持服務器主動向客戶端推送資料的功能,這樣,服務器可直接發送資料,而不必等待客戶端的請求,
    服務器提示功能
    服務器可以主動提示客戶端請求所需的資源,由于在客戶端發現資源之前就可以獲知資源的存在,因此在資源已快取等情況下,可以避免發送不必要的請求,

SPDY 消除 Web 瓶頸了嗎?
希望使用 SPDY 時, Web 的內容端不必做什么特別改動,而 Web 瀏覽器及 Web 服務器都要為對應 SPDY做出一定程度上的改動,有好幾家 Web 瀏覽器已經針對 SPDY 做出了相應的調整,另外, Web
服務器也進行了實驗性質的應用,但把該技識訓入實際的 Web 網站卻進展不佳,因為 SPDY 基本上只是將單個域名( IP
地址)的通信多路復用,所以當一個 Web 網站上使用多個域名下的資源,改善效果就會受到限制,SPDY 的確是一種可有效消除 HTTP
瓶頸的技術,但很多 Web 網站存在的問題并非僅僅是由 HTTP 瓶頸所導致,對 Web本身的速度提升,還應該從其他可細致鉆研的地方入手,比如改善 Web 內容的撰寫方式等,

  1. 使用瀏覽器進行全雙工通信的 WebSocket
  • 推送功能
  • 減少通信量
    只要建立起 WebSocket 連接,就希望一直保持連接狀態,和 HTTP 相比,不但每次連接時的總開銷減少,而且由于 WebSocket 的首部資訊很小,通信量也相應減少了,

為了實作 WebSocket 通信,在 HTTP 連接建立之后,需要完成一次“握手”(Handshaking)的步驟:
在這里插入圖片描述
6. 期盼已久的 HTTP/2.0

協議:SPDY、HTTP Speed+Mobility 、Network-Friendly HTTP Upgrade

HTTP/2.0的特點:

壓縮SPDY、Friendly
多路復用SPDY
TLS義務化Speed+Mobility
協商Speed+Mobility,Friendly
客戶端拉曳(Client Pull)/服務器推送(Server Push)Speed+Mobility
流量控制SPDY
WebSocketSpeed+ Mobility

注:HTTP Speed+Mobility 簡寫為Speed+Mobility,Network-Friendly HTTP Upgrade簡寫為Friendly.

  1. Web 服務器管理檔案的 WebDAV
    WebDAV(Web-based Distributed Authoring and Versioning,基于萬維網的分布式創作和版本控制)是一個可對 Web 服務器上的內容直接進行檔案復制、編輯等操作的分布式檔案系統,
5.3 構建Web內容的技術
  • HTML
  • 動態HTML
  • Web應用
    通過Web提供功能的Web應用、與web服務器和程式協作的CGI(通用網關介面)、因Java而普及的Servlet
  • 資料發布的格式及語言
    ①XML(eXtensible Markup Language,可擴展標記語言)
    發布更新資訊的RSS/Atom都是發布新聞或博客日志等更新資訊檔案的格式的總稱,兩者都用到了XML,
    ②Javascript衍生的輕量級JSON(JavaScript Object Notation, JS 物件簡譜)

6 別人的文章

傻傻分不清之 Cookie、Session、Token、JWT
強快取vs協商快取
三次握手&四次握手

轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/413283.html

標籤:其他

上一篇:2022-滲透測驗-資訊收集-Metasploit(基于TCP協議)

下一篇:2022-滲透測驗-資訊收集-Metasploit(基于SMB協議)

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • 網閘典型架構簡述

    網閘架構一般分為兩種:三主機的三系統架構網閘和雙主機的2+1架構網閘。 三主機架構分別為內端機、外端機和仲裁機。三機無論從軟體和硬體上均各自獨立。首先從硬體上來看,三機都用各自獨立的主板、記憶體及存盤設備。從軟體上來看,三機有各自獨立的作業系統。這樣能達到完全的三機獨立。對于“2+1”系統,“2”分為 ......

    uj5u.com 2020-09-10 02:00:44 more
  • 如何從xshell上傳檔案到centos linux虛擬機里

    如何從xshell上傳檔案到centos linux虛擬機里及:虛擬機CentOs下執行 yum -y install lrzsz命令,出現錯誤:鏡像無法找到軟體包 前言 一、安裝lrzsz步驟 二、上傳檔案 三、遇到的問題及解決方案 總結 前言 提示:其實很簡單,往虛擬機上安裝一個上傳檔案的工具 ......

    uj5u.com 2020-09-10 02:00:47 more
  • 一、SQLMAP入門

    一、SQLMAP入門 1、判斷是否存在注入 sqlmap.py -u 網址/id=1 id=1不可缺少。當注入點后面的引數大于兩個時。需要加雙引號, sqlmap.py -u "網址/id=1&uid=1" 2、判斷文本中的請求是否存在注入 從文本中加載http請求,SQLMAP可以從一個文本檔案中 ......

    uj5u.com 2020-09-10 02:00:50 more
  • Metasploit 簡單使用教程

    metasploit 簡單使用教程 浩先生, 2020-08-28 16:18:25 分類專欄: kail 網路安全 linux 文章標簽: linux資訊安全 編輯 著作權 metasploit 使用教程 前言 一、Metasploit是什么? 二、準備作業 三、具體步驟 前言 Msfconsole ......

    uj5u.com 2020-09-10 02:00:53 more
  • 游戲逆向之驅動層與用戶層通訊

    驅動層代碼: #pragma once #include <ntifs.h> #define add_code CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS) /* 更多游戲逆向視頻www.yxfzedu.com ......

    uj5u.com 2020-09-10 02:00:56 more
  • 北斗電力時鐘(北斗授時服務器)讓網路資料更精準

    北斗電力時鐘(北斗授時服務器)讓網路資料更精準 北斗電力時鐘(北斗授時服務器)讓網路資料更精準 京準電子科技官微——ahjzsz 近幾年,資訊技術的得了快速發展,互聯網在逐漸普及,其在人們生活和生產中都得到了廣泛應用,并且取得了不錯的應用效果。計算機網路資訊在電力系統中的應用,一方面使電力系統的運行 ......

    uj5u.com 2020-09-10 02:01:03 more
  • 【CTF】CTFHub 技能樹 彩蛋 writeup

    ?碎碎念 CTFHub:https://www.ctfhub.com/ 筆者入門CTF時時剛開始刷的是bugku的舊平臺,后來才有了CTFHub。 感覺不論是網頁UI設計,還是題目質量,賽事跟蹤,工具軟體都做得很不錯。 而且因為獨到的金幣制度的確讓人有一種想去刷題賺金幣的感覺。 個人還是非常喜歡這個 ......

    uj5u.com 2020-09-10 02:04:05 more
  • 02windows基礎操作

    我學到了一下幾點 Windows系統目錄結構與滲透的作用 常見Windows的服務詳解 Windows埠詳解 常用的Windows注冊表詳解 hacker DOS命令詳解(net user / type /md /rd/ dir /cd /net use copy、批處理 等) 利用dos命令制作 ......

    uj5u.com 2020-09-10 02:04:18 more
  • 03.Linux基礎操作

    我學到了以下幾點 01Linux系統介紹02系統安裝,密碼啊破解03Linux常用命令04LAMP 01LINUX windows: win03 8 12 16 19 配置不繁瑣 Linux:redhat,centos(紅帽社區版),Ubuntu server,suse unix:金融機構,證券,銀 ......

    uj5u.com 2020-09-10 02:04:30 more
  • 05HTML

    01HTML介紹 02頭部標簽講解03基礎標簽講解04表單標簽講解 HTML前段語言 js1.了解代碼2.根據代碼 懂得挖掘漏洞 (POST注入/XSS漏洞上傳)3.黑帽seo 白帽seo 客戶網站被黑帽植入劫持代碼如何處理4.熟悉html表單 <html><head><title>TDK標題,描述 ......

    uj5u.com 2020-09-10 02:04:36 more
最新发布
  • 2023年最新微信小程式抓包教程

    01 開門見山 隔一個月發一篇文章,不過分。 首先回顧一下《微信系結手機號資料庫被脫庫事件》,我也是第一時間得知了這個訊息,然后跟蹤了整件事情的經過。下面是這起事件的相關截圖以及近日流出的一萬條資料樣本: 個人認為這件事也沒什么,還不如關注一下之前45億快遞資料查詢渠道疑似在近日復活的訊息。 訊息是 ......

    uj5u.com 2023-04-20 08:48:24 more
  • web3 產品介紹:metamask 錢包 使用最多的瀏覽器插件錢包

    Metamask錢包是一種基于區塊鏈技術的數字貨幣錢包,它允許用戶在安全、便捷的環境下管理自己的加密資產。Metamask錢包是以太坊生態系統中最流行的錢包之一,它具有易于使用、安全性高和功能強大等優點。 本文將詳細介紹Metamask錢包的功能和使用方法。 一、 Metamask錢包的功能 數字資 ......

    uj5u.com 2023-04-20 08:47:46 more
  • vulnhub_Earth

    前言 靶機地址->>>vulnhub_Earth 攻擊機ip:192.168.20.121 靶機ip:192.168.20.122 參考文章 https://www.cnblogs.com/Jing-X/archive/2022/04/03/16097695.html https://www.cnb ......

    uj5u.com 2023-04-20 07:46:20 more
  • 從4k到42k,軟體測驗工程師的漲薪史,給我看哭了

    清明節一過,盲猜大家已經無心上班,在數著日子準備過五一,但一想到銀行卡里的余額……瞬間心情就不美麗了。最近,2023年高校畢業生就業調查顯示,本科畢業月平均起薪為5825元。調查一出,便有很多同學表示自己又被平均了。看著這一資料,不免讓人想到前不久中國青年報的一項調查:近六成大學生認為畢業10年內會 ......

    uj5u.com 2023-04-20 07:44:00 more
  • 最新版本 Stable Diffusion 開源 AI 繪畫工具之中文自動提詞篇

    🎈 標簽生成器 由于輸入正向提示詞 prompt 和反向提示詞 negative prompt 都是使用英文,所以對學習母語的我們非常不友好 使用網址:https://tinygeeker.github.io/p/ai-prompt-generator 這個網址是為了讓大家在使用 AI 繪畫的時候 ......

    uj5u.com 2023-04-20 07:43:36 more
  • 漫談前端自動化測驗演進之路及測驗工具分析

    隨著前端技術的不斷發展和應用程式的日益復雜,前端自動化測驗也在不斷演進。隨著 Web 應用程式變得越來越復雜,自動化測驗的需求也越來越高。如今,自動化測驗已經成為 Web 應用程式開發程序中不可或缺的一部分,它們可以幫助開發人員更快地發現和修復錯誤,提高應用程式的性能和可靠性。 ......

    uj5u.com 2023-04-20 07:43:16 more
  • CANN開發實踐:4個DVPP記憶體問題的典型案例解讀

    摘要:由于DVPP媒體資料處理功能對存放輸入、輸出資料的記憶體有更高的要求(例如,記憶體首地址128位元組對齊),因此需呼叫專用的記憶體申請介面,那么本期就分享幾個關于DVPP記憶體問題的典型案例,并給出原因分析及解決方法。 本文分享自華為云社區《FAQ_DVPP記憶體問題案例》,作者:昇騰CANN。 DVPP ......

    uj5u.com 2023-04-20 07:43:03 more
  • msf學習

    msf學習 以kali自帶的msf為例 一、msf核心模塊與功能 msf模塊都放在/usr/share/metasploit-framework/modules目錄下 1、auxiliary 輔助模塊,輔助滲透(埠掃描、登錄密碼爆破、漏洞驗證等) 2、encoders 編碼器模塊,主要包含各種編碼 ......

    uj5u.com 2023-04-20 07:42:59 more
  • Halcon軟體安裝與界面簡介

    1. 下載Halcon17版本到到本地 2. 雙擊安裝包后 3. 步驟如下 1.2 Halcon軟體安裝 界面分為四大塊 1. Halcon的五個助手 1) 影像采集助手:與相機連接,設定相機引數,采集影像 2) 標定助手:九點標定或是其它的標定,生成標定檔案及內參外參,可以將像素單位轉換為長度單位 ......

    uj5u.com 2023-04-20 07:42:17 more
  • 在MacOS下使用Unity3D開發游戲

    第一次發博客,先發一下我的游戲開發環境吧。 去年2月份買了一臺MacBookPro2021 M1pro(以下簡稱mbp),這一年來一直在用mbp開發游戲。我大致分享一下我的開發工具以及使用體驗。 1、Unity 官網鏈接: https://unity.cn/releases 我一般使用的Apple ......

    uj5u.com 2023-04-20 07:40:19 more