基础知识与协议

5.1 Web基础

5.1.1 HTTP/HTTPS协议详解
HTTP协议核心机制

• 请求与响应结构：
  • 请求示例：

    GET /index.html HTTP/1.1
    Host: example.com
    User-Agent: Mozilla/5.0
    

  • 响应示例：

    HTTP/1.1 200 OK
    Content-Type: text/html
    Content-Length: 1234<html>...</html>
    

• 常见状态码：
  • 200 OK：请求成功。
  • 404 Not Found：资源未找到。
  • 500 Internal Server Error：服务器内部错误。

HTTPS安全机制

• TLS握手过程：
  1. 客户端发送支持的加密套件列表。
  2. 服务器选择加密套件并返回证书。
  3. 客户端验证证书，生成会话密钥并加密传输。
• 中间人攻击防护：
  • 证书绑定（Certificate Pinning）防止伪造证书。
  • 使用HSTS（HTTP Strict Transport Security）强制HTTPS。

5.1.2 Cookie与Session机制
Cookie的作用与风险

• 核心功能：
  • 存储用户身份标识（如session_id=abc123）。
  • 示例（服务端设置Cookie）：

    Set-Cookie: session_id=abc123; Path=/; HttpOnly; Secure  
    

• 安全风险：
  • 会话劫持：通过XSS窃取Cookie（防御：设置HttpOnly）。
  • CSRF攻击：伪造用户请求（防御：添加Token校验）。

Session管理实战