图解HTTP

内容简介：

本书对互联网基盘——HTTP协议进行了全面系统的介绍。作者由HTTP协议的发展历史娓娓道来，严谨细致地剖析了HTTP协议的结构，列举诸多常见通信场景及实战案例，最后延伸到Web安全、最新技术动向等方面。本书的特色为在讲解的同时，辅以大量生动形象的通信图例，更好地帮助读者深刻理解HTTP通信过程中客户端与服务器之间的交互情况。读者可通过本书快速了解并掌握HTTP协议的基础，前端工程师分析抓包数据，后端工程师实现REST API、实现自己的HTTP服务器等过程中所需的HTTP相关知识点本书均有介绍。

本书适合Web开发工程师，以及对HTTP协议感兴趣的各层次读者。

作者简介：

作者简介

上野 宣

OWASP 日本分会会长，TRICORDER株式会社董事长。

主要从事安全咨询、风险评估、信息安全教育等工作。著有《今晚我们一起学习邮件协议》（今夜わかるメールプロトコル）、《今晚我们一起学习TCP/IP》（今夜わかるTCP/IP）、《今晚我们一起学习HTTP》（今夜わかるHTTP）。担任The Tangled Web:A Guide to Securing Modern Web Application日文版的审校工作。

译者简介

于均良

上海交通大学硕士，高级软件工程师，马拉松跑者，四点网创始人。

目录：

目录

第1章　了解Web及网络基础001

1.1使用HTTP协议访问Web002

1.2HTTP的诞生003

1.2.1　为知识共享而规划Web003

1.2.2　Web成长时代004

1.2.3　驻足不前的HTTP005

1.3网络基础TCP/IP006

1.3.1　TCP/IP协议族006

1.3.2　TCP/IP的分层管理007

1.3.3　TCP/IP通信传输流009

1.4与HTTP关系密切的协议:IP、TCP和DNS010

1.4.1　负责传输的IP协议011

1.4.2　确保可靠性的TCP协议012

1.5负责域名解析的DNS服务013

1.6各种协议与HTTP协议的关系014

1.7URI和URL016

1.7.1　统一资源标识符016

1.7.2　URI格式017

第2章　简单的HTTP协议021

2.1HTTP协议用于客户端和服务器端之间的通信022

2.2通过请求和响应的交换达成通信022

2.3HTTP是不保存状态的协议025

2.4请求URI定位资源026

2.5告知服务器意图的HTTP方法027

2.6使用方法下达命令033

2.7持久连接节省通信量034

2.7.1　持久连接036

2.7.2　管线化037

2.8使用Cookie的状态管理037

第3章HTTP报文内的HTTP信息041

3.1HTTP报文042

3.2请求报文及响应报文的结构042

3.3编码提升传输速率044

3.3.1　报文主体和实体主体的差异044

3.3.2　压缩传输的内容编码044

3.3.3　分割发送的分块传输编码045

3.4发送多种数据的多部分对象集合046

3.5获取部分内容的范围请求048

3.6内容协商返回最合适的内容050

第4章　返回结果的HTTP状态码053

4.1状态码告知从服务器端返回的请求结果054

4.22XX成功055

4.2.1　200　OK055

4.2.2　204　No　Content056

4.2.3　206　Partial　Content056

4.33XX　重定向　056

4.3.1　301　Moved　Permanently057

4.3.2　302　Found　057

4.3.3　303　See　Other058

4.3.4　304　Not　Modified059

4.3.5　307　Temporary　Redirect059

4.44XX　客户端错误060

4.4.1　400　Bad　Request060

4.4.2　401　Unauthorized060

4.4.3　403　Forbidden061

4.4.4　404　Not　Found061

4.55XX　服务器错误062

4.5.1　500　Internal　Server　Error062

4.5.2　503　Service　Unavailable062

第5章　与HTTP协作的Web服务器065

5.1用单台虚拟主机实现多个域名066

5.2通信数据转发程序：代理、网关、隧道067

5.2.1　代理068

5.2.2　网关070

5.2.3　隧道070

5.3保存资源的缓存071

5.3.1　缓存的有效期限072

5.3.2　客户端的缓存072

第6章　HTTP　首部075

6.1HTTP　报文首部076

6.2HTTP　首部字段078

6.2.1　HTTP首部字段传递重要信息078

6.2.2　HTTP首部字段结构078

6.2.3　4种HTTP首部字段类型079

6.2.4　HTTP/1.1首部字段一览080

6.2.5　非HTTP/1.1首部字段082

6.2.6　End-to-end首部和Hop-by-hop首部083

6.3HTTP/1.1通用首部字段083

6.3.1　Cache-Control084

6.3.2　Connection091

6.3.3　Date093

6.3.4　Pragma094

6.3.5　Trailer095

6.3.6　Transfer-Encoding096

6.3.7　Upgrade097

6.3.8　Via098

6.3.9　Warning099

6.4请求首部字段100

6.4.1　Accept101

6.4.2　Accept-Charset102

6.4.3　Accept-Encoding103

6.4.4　Accept-Language104

6.4.5　Authorization105

6.4.6　Expect106

6.4.7　From107

6.4.8　Host107

6.4.9　If-Match108

6.4.10　If-Modified-Since110

6.4.11　If-None-Match111

6.4.12　If-Range112

6.4.13　If-Unmodified-Since113

6.4.14　Max-Forwards114

6.4.15　Proxy-Authorization115

6.4.16　Range116

6.4.17　Referer116

6.4.18　TE117

6.4.19　User-Agent118

6.5响应首部字段119

6.5.1　Accept-Ranges119

6.5.2　Age120

6.5.3　ETag120

6.5.4　Location122

6.5.5　Proxy-Authenticate123

6.5.6　Retry-After123

6.5.7　Server124

6.5.8　Vary125

6.5.9　WWW-Authenticate125

6.6实体首部字段126

6.6.1　Allow126

6.6.2　Content-Encoding127

6.6.3　Content-Language128

6.6.4　Content-Length128

6.6.5　Content-Location129

6.6.6　Content-MD5129

6.6.7　Content-Range130

6.6.8　Content-Type131

6.6.9　Expires131

6.6.10Last-Modified132

6.7为Cookie服务的首部字段132

6.7.1　Set-Cookie134

6.7.2　Cookie136

6.8其他首部字段137

6.8.1　X-Frame-Options137

6.8.2　X-XSS-Protection138

6.8.3　DNT138

6.8.4　P3P139

第7章　确保Web安全的HTTPS141

7.1HTTP的缺点142

7.1.1　通信使用明文可能会被窃听142

7.1.2　不验证通信方的身份就可能遭遇伪装146

7.1.3　无法证明报文完整性，可能已遭篡改148

7.2HTTP+加密+认证+完整性保护=HTTPS150

7.2.1　HTTP加上加密处理和认证以及完整性保护后即是HTTPS150

7.2.2　HTTPS是身披SSL外壳的HTTP151

7.2.3　相互交换密钥的公开密钥加密技术152

7.2.4　证明公开密钥正确性的证书155

7.2.5　HTTPS的安全通信机制161

第8章　确认访问用户身份的认证167

8.1何为认证168

8.2BASIC　认证169

8.3DIGEST　认证171

8.4SSL客户端认证173

8.4.1　SSL客户端认证的认证步骤174

8.4.2　SSL客户端认证采用双因素认证175

8.4.3　SSL客户端认证必要的费用175

8.5基于表单认证175

8.5.1　认证多半为基于表单认证176

8.5.2　Session管理及Cookie应用177

第9章　基于HTTP的功能追加协议179

9.1基于HTTP的协议180

9.2消除HTTP瓶颈的SPDY180

9.2.1　HTTP的瓶颈180

9.2.2　SPDY的设计与功能184

9.2.3　SPDY消除Web瓶颈了吗185

9.3使用浏览器进行全双工通信的WebSocket186

9.3.1　WebSocket的设计与功能186

9.3.2　WebSocket协议186

9.4期盼已久的HTTP/2.0189

9.5Web服务器管理文件的WebDAV190

9.5.1　扩展HTTP/1.1的WebDAV191

9.5.2　WebDAV内新增的方法及状态码192

第10章　构建Web内容的技术195

10.1HTML196

10.1.1　Web页面几乎全由HTML构建196

10.1.2　HTML的版本197

10.1.3　设计应用CSS198

10.2动态HTML198

10.2.1　让Web页面动起来的动态HTML198

10.2.2　更易控制HTML的DOM198

10.3Web应用200

10.3.1　通过Web提供功能的Web应用200

10.3.2　与Web服务器及程序协作的CGI200

10.3.3　因Java而普及的Servlet201

10.4数据发布的格式及语言203

10.4.1　可扩展标记语言203

10.4.2　发布更新信息的RSS/Atom204

10.4.3　JavaScript衍生的轻量级易用JSON206

第11章　Web的攻击技术207

11.1针对Web的攻击技术208

11.1.1　HTTP不具备必要的安全功能208

11.1.2　在客户端即可篡改请求209

11.1.3　针对Web应用的攻击模式210

11.2因输出值转义不完全引发的安全漏洞212

11.2.1　跨站脚本攻击213

11.2.2　SQL注入攻击218

11.2.3　OS命令注入攻击223

11.2.4　HTTP首部注入攻击225

11.2.5　邮件首部注入攻击228

11.2.6　目录遍历攻击229

11.2.7　远程文件包含漏洞230

11.3因设置或设计上的缺陷引发的安全漏洞232

11.3.1　强制浏览232

11.3.2　不正确的错误消息处理234

11.3.3　开放重定向237

11.4因会话管理疏忽引发的安全漏洞237

11.4.1　会话劫持238

11.4.2　会话固定攻击239

11.4.3　跨站点请求伪造241

11.5其他安全漏洞242

11.5.1　密码破解242

11.5.2　点击劫持247

11.5.3　DoS攻击249

11.5.4　后门程序250

文章试读：目前，国内讲解HTTP 协议的书实在太少了。 在我的印象中，讲解网络协议的书仅有两本。一本是《HTTP 权威指南》，但其厚度令人望而生畏；另一本是《TCP/IP 详解，卷1》，内容艰涩难懂，学习难度较大。这两本书都是被读者们奉为“圣经”的经典之作，大师们的授道自然无可挑剔，但关键是它们对初学者都不那么友好，大家的学习信心很容易受到打击，阅读中途或将束之高阁。本书的出现及时缓解了该问题。 H...

(查看全部试读)