【正文】 2020年 11月 4日星期三1時(shí) 49分 21秒 Web安全 1 第四章 web安全 知 識(shí) 點(diǎn)： ● 服務(wù)器安全 ● 瀏覽器安全 難 點(diǎn)： ● 服務(wù)器安全策略 ● 瀏覽器安全策略 內(nèi)容： ● 服務(wù)器安全策略 ● 瀏覽器安全問(wèn)題 ● 服務(wù)器安全問(wèn)題 2020年 11月 4日星期三1時(shí) 49分 21秒 Web安全 2 第 1節(jié) Web技術(shù)簡(jiǎn)介 ? Web又稱 World Wide Web(萬(wàn)維網(wǎng) )，其基本結(jié)構(gòu)是采用開(kāi)放式的客戶 /服務(wù)器結(jié)構(gòu)（ Client/Server），分成服務(wù)器端、客戶接收端以及傳輸規(guī)程三個(gè)部分 . ? 服務(wù)器規(guī)定傳輸設(shè)定、信息傳輸格式和服務(wù)器本身的開(kāi)放式結(jié)構(gòu) ? 客戶機(jī)統(tǒng)稱瀏覽器，用于向服務(wù)器發(fā)送資源索取請(qǐng)求，并將接收到的信息進(jìn)行解碼和顯示； ? 通信協(xié)議是 Web瀏覽器與服務(wù)器之間進(jìn)行通訊傳輸?shù)囊?guī)范 。 2020年 11月 4日星期三1時(shí) 49分 21秒 Web安全 3 HTTP協(xié)議 ? HTTP（ HyperText Transfer Protocol，超文本傳輸協(xié)議）協(xié)議是分布式的 Web應(yīng)用的核心技術(shù)協(xié)議，在 TCP/IP協(xié)議棧中屬于應(yīng)用層。它定義 Web瀏覽器向 Web服務(wù)器發(fā)送索取 Web頁(yè)面請(qǐng)求格式以及Web頁(yè)面在 Inter上的傳輸方式。 ? HTTP協(xié)議一直在不斷的發(fā)展和完善。 ? 了解 HTTP的工作過(guò)程，可以更好地監(jiān)測(cè) Web服務(wù)器對(duì) Web瀏覽器的響應(yīng)，對(duì)于 Web的安全管理非常有用。一般情況下， Web服務(wù)器在 80端口等候 Web瀏覽器的請(qǐng)求； Web瀏覽器通過(guò) 3次握手與服務(wù)器建立 TCP/IP連接，然后 Web瀏覽器通過(guò)類似如下簡(jiǎn)單命令向服務(wù)器發(fā)送索取頁(yè)面的請(qǐng)求： – GET/ ? 服務(wù)器則以相應(yīng)的文件為內(nèi)容響應(yīng) Web瀏覽器的請(qǐng)求。 2020年 11月 4日星期三1時(shí) 49分 21秒 Web安全 4 HTML語(yǔ)言與其他 Web編程語(yǔ)言 ? Web的特點(diǎn)決定了 Web的內(nèi)容必須能夠以適當(dāng)?shù)男问絹?lái)組織和安排，使得它在各種平臺(tái)上的 Web瀏覽器上能夠得到正確的解釋，并具有豐富層次的界面，如文本、圖形圖像和連接等應(yīng)該具有不同的詮釋和顯示。 ? HTML（ Hyper Text Markup Language，超文本標(biāo)識(shí)語(yǔ)言）語(yǔ)言的出現(xiàn)解決了頁(yè)面作者定制網(wǎng)頁(yè)總體輪廓的問(wèn)題，用文本語(yǔ)言的方式實(shí)現(xiàn)了 Web內(nèi)容和存儲(chǔ)上的統(tǒng)一。 2020年 11月 4日星期三1時(shí) 49分 21秒 Web安全 5 HTML語(yǔ)言與其他 Web編程語(yǔ)言 ? HTML幾乎為所有常見(jiàn)的 Web瀏覽器所支持。 Web瀏覽器在得到Web頁(yè)面之后，根據(jù) HTML語(yǔ)言的標(biāo)記來(lái)決定頁(yè)面的層次結(jié)構(gòu)和顯示格式，并且可以通過(guò) URL（ Universal Resource Locator）來(lái)實(shí)現(xiàn) Web頁(yè)面的連接和跳轉(zhuǎn)。對(duì)用戶而言則是透明的。 ? 支持圖像、動(dòng)畫(huà)和聲音等多媒體內(nèi)容的嵌入，即所謂 HyperMedia。 ? HTML中可以包括層疊式樣表 CSS（ Cascading Style Sheets）。CSS屬于一種式樣設(shè)計(jì)模板（ Design Templates）。它能夠幫助用戶控制 HTML元素的呈現(xiàn)方式和輪廓，將 HTML的內(nèi)容制作和式樣設(shè)計(jì)分開(kāi)。 2020年 11月 4日星期三1時(shí) 49分 21秒 Web安全 6 Web服務(wù)器 ? Inter 上眾多的 Web服務(wù)器匯集了大量的信息， Web服務(wù)器的作用就是管理這些文檔，處理用戶發(fā)來(lái)的各種請(qǐng)求，將滿足用戶要求的信息返回給用戶。 ? 本質(zhì)上來(lái)說(shuō)， Web服務(wù)器是駐留在服務(wù)器上的一個(gè)程序，通過(guò)Web瀏覽器與用戶交互操作，為用戶提供興趣信息。 2020年 11月 4日星期三1時(shí) 49分 21秒 Web安全 7 Web瀏覽器 ? Web瀏覽器是閱讀 Web上的信息的客戶端的軟件。如果用戶在本地機(jī)器上安裝了 Web瀏覽器軟件，就可以讀取 Web上的信息了。 ? Web瀏覽器在網(wǎng)絡(luò)上與 Web服務(wù)器打交道，從服務(wù)器上下載和獲取文件。 ? Web瀏覽器有多種，他們都可以瀏覽 Web上的內(nèi)容，只不過(guò)所支持的協(xié)議標(biāo)準(zhǔn)以及功能特性各有異同罷了。絕大部分的瀏覽器都運(yùn)用了圖形用戶界面。目前常用的有： – Netscape Navigator、 Netscape Communicator、 Microsoft Inter Explorer、 Opera , Mosaic 和 Lynx等等。 ? Netscape 的瀏覽器幾乎可以在所有的平臺(tái)上運(yùn)行，而且具有創(chuàng)意 . ? Microsoft Inter Explorer則是 Web瀏覽器市場(chǎng)的霸主。 2020年 11月 4日星期三1時(shí) 49分 21秒 Web安全 8 公共網(wǎng)關(guān)接口介紹 ? CGI，指的是公共網(wǎng)關(guān)接口（ Common Gateway Interface ） ? 是 Web信息服務(wù)器與外部應(yīng)用程序之間交換數(shù)據(jù)的標(biāo)準(zhǔn)接口。 ? 1．功能 – 收集從 Web瀏覽器發(fā)送給 Web服務(wù)器的信息，并且把這些信息傳送給外部程序； – 把外部程序的輸出作為 Web服務(wù)器對(duì)發(fā)送信息的 Web瀏覽器的響應(yīng)，發(fā)送給該 Web瀏覽器。 ? Web服務(wù)器真正實(shí)現(xiàn)了與 Web瀏覽器用戶之間的交互。比如 :： – 收集用戶意見(jiàn)和建議； – 根據(jù)用戶要求，從服務(wù)器上的數(shù)據(jù)庫(kù)中提取相關(guān)信息并回傳給用戶； – 為用戶創(chuàng)建動(dòng)態(tài)的圖表。如股票市場(chǎng)的動(dòng)態(tài)走勢(shì)圖等。 2020年 11月 4日星期三1時(shí) 49分 21秒 Web安全 9 公共網(wǎng)關(guān)接口介紹 ? 2． CGI的工作原理 ? 在 HTML文件中，表單（ Form）與 CGI程序配合使用，共同來(lái)完成信息交流的目的。一般過(guò)程是： ? （ 1） 用戶用 Web瀏覽器提交表單登錄； ? （ 2） Web瀏覽器發(fā)送登錄請(qǐng)求到 Web服務(wù)器； ? （ 3） Web服務(wù)器分析 Web瀏覽器送來(lái)的數(shù)據(jù)包，確認(rèn)是 CGI請(qǐng)求，于是通過(guò) CGI將表單數(shù)據(jù)按照一定格式送給相應(yīng)的 CGI應(yīng)用程序； ? （ 4） CGI應(yīng)用程序?qū)?shù)據(jù)處理，驗(yàn)證，將動(dòng)態(tài)生成的頁(yè)面發(fā)送給Web服務(wù)器； ? （ 5） Web服務(wù)器把 CGI應(yīng)用程序東來(lái)的頁(yè)面發(fā)送給請(qǐng)求登錄的Web瀏覽器； ? （ 6） Web瀏覽器接收到，并解釋、顯示頁(yè)面。 2020年 11月 4日星期三1時(shí) 49分 21秒 Web安全 10 公共網(wǎng)關(guān)接口介紹 ? 3． CGI的與服務(wù)器的交互關(guān)系 ? Web瀏覽器向 Web服務(wù)器提交表單數(shù)據(jù)通常有兩種方式： ? （ 1） Post方式。 Web服務(wù)器通過(guò)標(biāo)準(zhǔn)輸入方式把數(shù)據(jù)轉(zhuǎn)交 CGI應(yīng)用程序。數(shù)據(jù)處理完畢后，將結(jié)果輸出到標(biāo)準(zhǔn)輸出既可以為 Web服務(wù)器所接收。 ? （ 2） Get方式。在 UNIX類的系統(tǒng)中， Web服務(wù)器通過(guò)環(huán)境變量來(lái)把數(shù)據(jù)轉(zhuǎn)交 CGI應(yīng)用程序的。 2020年 11月 4日星期三1時(shí) 49分 21秒 W