一，各版本http協(xié)議的標(biāo)準(zhǔn)描述

????????http1.0 - 1996年5月公布，記載于RFC1945

? ? ????????地址：https://www.ietf.org/rfc/rfc1945.txt

? ? ? ? http1.1 - 1997年1月公布，當(dāng)前主流的http協(xié)議版本，最新版本為修訂版RFC2616（最初版為RFC2068）

? ? ????????地址：https://www.ietf.org/rfc/rfc2616.txt

????????http2.0 - 暫未發(fā)布，推行需要時(shí)間

二，HTTP1.0和HTTP1.1的一些區(qū)別

? ??????2.1，緩存處理：在HTTP1.0中主要使用header里的If-Modified-Since,Expires來(lái)作為緩存判斷的標(biāo)準(zhǔn)，HTTP1.1則引入了更多的緩存控制策略例如Entity tag，If-Unmodified-Since, If-Match, If-None-Match等更多可供選擇的緩存頭來(lái)控制緩存策略。

? ??????2.2，長(zhǎng)連接：HTTP 1.1支持長(zhǎng)連接（PersistentConnection）和請(qǐng)求的流水線（Pipelining）處理，在一個(gè)TCP連接上可以傳輸多個(gè)HTTP請(qǐng)求和響應(yīng)，減少了建立和關(guān)閉連接的消耗和延遲，在HTTP1.1中默認(rèn)開(kāi)啟Connection： keep-alive，一定程度上彌補(bǔ)了HTTP1.0每次請(qǐng)求都要?jiǎng)?chuàng)建連接的缺點(diǎn)。

? ??????2.3，Host頭處理，在HTTP1.0中認(rèn)為每臺(tái)服務(wù)器都綁定一個(gè)唯一的IP地址，因此，請(qǐng)求消息中的URL并沒(méi)有傳遞主機(jī)名（hostname）。但隨著虛擬主機(jī)技術(shù)的發(fā)展，在一臺(tái)物理服務(wù)器上可以存在多個(gè)虛擬主機(jī)（Multi-homed Web Servers），并且它們共享一個(gè)IP地址。HTTP1.1的請(qǐng)求消息和響應(yīng)消息都應(yīng)支持Host頭域，且請(qǐng)求消息中如果沒(méi)有Host頭域會(huì)報(bào)告一個(gè)錯(cuò)誤（400 Bad Request）。

? ??????2.4，錯(cuò)誤通知的管理，在HTTP1.1中新增了24個(gè)錯(cuò)誤狀態(tài)響應(yīng)碼，如409（Conflict）表示請(qǐng)求的資源與資源的當(dāng)前狀態(tài)發(fā)生沖突；410（Gone）表示服務(wù)器上的某個(gè)資源被永久性的刪除。

三，對(duì)于http需要了解的知識(shí)點(diǎn)

? ? ? ? 3.1，http常用狀態(tài)碼的含義？

? ??????3.2，http握手機(jī)制

? ??????3.3，四層網(wǎng)絡(luò)模型，五層網(wǎng)絡(luò)模型和七層網(wǎng)絡(luò)模型

? ??????3.4，http報(bào)文信息解讀

? ??????3.5，DNS協(xié)議及DNS查找順序

四，對(duì)于信息安全需要了解的內(nèi)容

? ? ? ? 4.1，xss攻擊

? ? ? ? ? ? ? ? ? ? 1）類型：反射型，存儲(chǔ)型，dom型，還有兩種不常見(jiàn)的類型——突變型（類似dom型）和uxss（通用型xss，一般是基于瀏覽器或?yàn)g覽器拓展插件的缺陷而發(fā)起的xss攻擊）

? ? ? ? ? ? ? ? ? ?2）上述xss攻擊原理：

? ? ? ?4.2，csrf攻擊

? ? ? ? ? ? ? ? ? ? 1）原理：

????????????????????????????合法用戶A在合法流程下登錄了目標(biāo)網(wǎng)站www.dev.xxx.com；

? ? ? ? ? ? ? ? ? ? ? ? ? ? 登錄成功后，目標(biāo)網(wǎng)站服務(wù)器為了標(biāo)識(shí)用戶A，給A返回了cookie以及sessionId數(shù)據(jù)；

????????????????????????????在用戶會(huì)話id未失效前（用戶A在未關(guān)閉瀏覽器且未登出的狀態(tài)下，或是用戶在關(guān)閉瀏覽器的很短時(shí)間內(nèi)【此時(shí)用戶會(huì)話id不一定失效】）訪問(wèn)了非法用戶B構(gòu)造的釣魚網(wǎng)站，致使非法用戶B經(jīng)過(guò)某種手段拿到了用戶A的合法訪問(wèn)信息-sessionId；

? ? ? ? ? ? ? ? ? ? ? ? ? ? 非法用戶B在該sessionId沒(méi)失效之前，借助該會(huì)話信息訪問(wèn)目標(biāo)網(wǎng)站，由于服務(wù)器無(wú)法確認(rèn)“對(duì)面是人是狗”，所以csrf攻擊到此成功實(shí)施；

? ? ? ? ? ? ? ? ? ? 2）防范：

? ? ? ? ? ? ? ? ? ? ? ? ? ? 使用https協(xié)議保證相對(duì)數(shù)據(jù)通信安全；

? ? ? ? ? ? ? ? ? ? ? ? ? ? 服務(wù)器返回httpOnly標(biāo)識(shí)，相對(duì)狀態(tài)下禁止js訪問(wèn)cookie；