【计算机网络】网络安全,HTTP协议,同源策略,cors,jsonp

这篇具有很好参考价值的文章主要介绍了【计算机网络】网络安全,HTTP协议,同源策略,cors,jsonp。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

❤️ Author: 老九
☕️ 个人博客:老九的CSDN博客
🙏 个人名言:不可控之事 乐观面对
😍 系列专栏:

网络安全

非对称加密

  • 会生成一个公钥一个私钥,我现在有一个东西,我用公钥给它加密,公钥可以公开给任何一个人,只有对应的私钥可以解密;如果用对称加密最重要的坏处就是需要在网络上传输密码,这样的话就很危险了
  • 实现数字签名
    首先,我们生成一对密钥,然后我们对要发送的文件进行处理,例如使用MD5或者sha1的算法进行文件内容的加密,接下来,我们使用私钥对这个加密过的文件进行加密,生成一个数字签名。这个签名是唯一的,只有我们拥有的私钥才能生成它。我们将这个文件和数字签名一起发送给对方。对方收到文件和签名后,会使用我们公开的公钥来解密签名,获得到的文件和这个发送过来的文件进行比较,如果两者一致,说明文件没有被篡改,因为只有拥有私钥的人才能正确生成签名。
  • 如何证明通信的对方就是想要的对方?
    这时候就需要使用数字证书。对方需要出示由权威机构颁发的数字证书,证书包含对方的公钥以及权威机构的数字签名。接收方会通过权威机构的公钥来验证数字签名的有效性,确保证书的真实性。一般情况下,计算机在出厂时已经预装了一些权威机构颁发的证书,对这些证书设置为信任状态。因此,当接收方验证通过证书后,就可以信任对方的公钥了。然后可以使用对方的公钥来加密要发送的信息,只有对方拥有对应的私钥才能解密。
    数字签名是保证发送的文件过程中没有被篡改,数字证书是保证发送的对方是我想要的对方

中间人攻击

  • 当通信双方进行加密通信的时候,中间人会尝试伪装成合法的通信终端,通过买通CA机构的证书,并且黑掉DNS服务器,将跳转地址跳转到中间人的服务器ip,然后它同时与双方进行解密和转发,使双方认为他们在进行安全通信,但实际上所有的数据都经过了中间人的窃取和篡改。

XSS

  • 在网站留言,或者发帖的地方写上一段Script标签,最终如果网站没有处理的话,我们这段代码可能在网站上运行;
  • 解决办法:1.插值时,对用户输入的内容转义2.使用CSP来限制页面里的程序能往哪里发送请求;使用CSP来限制页面能够运行哪里来的代码,比如connect-src限制你能连接哪些服务器,font-src:只能加载哪里的字体 ,frame-ancestors:谁能作为我的iframe祖先,frame-src:我能够嵌套来自哪里的页面,img-src:图片能来自哪里,srcipt-src:代码能来自哪里,style-src:能加在哪里的css,这是一个白名单限制。

SQL注入

  • 用户输入的信息被拼接到了服务器端的SQL语句中
  • 避免sql语句拼接,通过?占位符就可以避免了

CSRF

  • 跨站请求伪造,这种攻击基本已经消亡了,因为浏览器跨域请求默认不带cookie,假如带cookie的话,就可以实现在别的网站上就删除或者其他操作当前页面的数据了
  • 以前的解决方案:通过referer判断请求来自哪个站点,如果不是自家的站点,则拒绝执行相应的请求;或者为请求带上cookie以外的一些字段,而这些字段只有自己站点的页面有,称为csrf token

HTTP协议

  • 超文本传输协议,互联网上的数据都是通过这个协议传输的
  • 当将一个网址在浏览器的地址栏打开,首先浏览器向DNS服务器请求和这个域名关联起来的ip,并在对应端口上建立TCP连接,如果服务器存在并且接受这个连接,浏览器将在这个接口上发送内容(请求行,请求头,请求体),服务器会通过这个连接响应回复相同类型的内容(响应行,响应头,响应体)
  • 请求
    请求方法 请求资源路径 协议版本
    头1:值1
    头2:值2
    Host:www.baidu.com //请求这个资源时使用的域名
    User-Agent:xxxxxx //请求这个资源所使用的浏览器ua字符串(在BOM的navigator中存在)
    Content-Length:2343 //以字节为单位的请求体长度
    。。。
    <回车>
    请求体
  • 响应
    协议版本 响应状态码 响应状态码的解释
    头1:值1
    头2:值2
    Data:时间 //响应发送的时间
    Content-Length:2343 //以字节为单位的响应体长度
    。。。
    <回车>
    响应体

同源策略

  • 浏览器的同源策略(Same-Origin Policy)是一种安全机制,用于限制网页或脚本在浏览器中与其他源(域名、协议和端口)的文档进行交互的能力。同源策略的目的是防止恶意网站通过脚本等方式获取或篡改与其他源的敏感数据。通俗来说就是A网站不能随意的向B网站的资源发起请求,或者A网站的页面向同一个浏览器的B网站的页面发起沟通,浏览器都会阻止;但B网站的服务器可以解除此限制,通过在响应头里加上特定的头部字段来实现。

cors

  • 跨域的方法就是在响应头中加一个Access-Control-Allow-Origin: *;之后,这个资源就可以被其他人跨域访问了;正常来说如果没有设置响应头的话,可以发出去请求资源,但是由于同源策略机制,不能收到资源。
  • 这里有一个概念是预检请求,预检请求就是当你要请求一个服务器的资源的时候,会对服务器发一个HTTP OPTIONS请求,以获知服务器是否允许该实际请求,这样可以避免跨域请求对服务器的用户数据产生未预期的影响。
  • 简单请求不需要预检请求,若请求满足所有下述条件,则可以视为简单请求。
    1.使用下列方法:get,head,post
    2.只允许设置这些头部
    【计算机网络】网络安全,HTTP协议,同源策略,cors,jsonp
    3.content-Type只能是这几个

【计算机网络】网络安全,HTTP协议,同源策略,cors,jsonp

  • 通俗的来讲,稍微设置一些额外的请求头之类的,就不是简单请求了,就需要发预检请求了,响应回来的头部包括这四个字段
    【计算机网络】网络安全,HTTP协议,同源策略,cors,jsonp

jsonp

  • jsonp是另一种跨域的方法,适用于比较古老的浏览器,如果浏览器不认识Access-control-Allow-Origin类似的响应头的字段,原理就是利用了script标签可以请求别的网站的资源,只能获取数据发get请求。
    【计算机网络】网络安全,HTTP协议,同源策略,cors,jsonp
    【计算机网络】网络安全,HTTP协议,同源策略,cors,jsonp

————————————————————————
♥♥♥码字不易,大家的支持就是我坚持下去的动力♥♥♥
版权声明:本文为CSDN博主「亚太地区百大最帅面孔第101名」的原创文章
文章来源地址https://www.toymoban.com/news/detail-471321.html

到了这里,关于【计算机网络】网络安全,HTTP协议,同源策略,cors,jsonp的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 第七章 网络安全【计算机网络】

    2023-7-7 17:11:39 以下内容源自《【创作模板四】》 仅供学习交流使用 第六章 应用层【计算机网络】 计算机网络(第8版) 谢希仁 编著 7.1.1计算机网络面临的安全性威胁 被动攻击:截获 流量分析 主动攻击: 篡改 恶意程序 拒绝服务Dos 7.1.2安全的计算机网络 7.1.3数据加密模型

    2024年02月13日
    浏览(50)
  • 《计算机网络》 第七章 网络安全

    两大威胁:①被动攻击 ②主动攻击(篡改、恶意程序、拒接服务DoS) 对付被动攻击:加密技术 对付主动攻击:加密技术+ 鉴别技术 四个目标:①保密性 ②端点鉴别(身份验证) ③信息完整性 ④运行安全性(访问控制) 加密密钥和解密密钥使用相同密钥的体制 例如:DES(

    2024年02月03日
    浏览(48)
  • 计算机网络【HTTP协议】

    HTTP/HTTPS协议 是应用层的网路协议 目前大多数情况HTTP在传输层是基于TCP(HTTP1/2 是基于TCP,最新的HTTP协议是基于UDP协议,但是我们目前常用的HTTP应用层协议是HTTP1.0) 应用层协议很多时候都是程序员自己定制的,需要根据具体的场景来制定应用层协议,但是由于程序员水平参差不

    2024年02月02日
    浏览(44)
  • [计算机网络]---Http协议

    前言 作者 :小蜗牛向前冲 名言 :我可以接受失败,但我不能接受放弃   如果觉的博主的文章还不错的话,还请 点赞,收藏,关注👀支持博主。如果发现有问题的地方欢迎❀大家在评论区指正  本期学习:htpp协议,认识URL, 理解htpp协议的基本结构,写一个简单的http协议。

    2024年02月19日
    浏览(53)
  • 【计算机网络】HTTP 协议

    前面我们介绍了网络 TCP/IP 五层模型中的各个层,在这五层中,应用层是和我们程序员息息相关的,需要我们程序员写出代码来实现,前面我们只是简单讲了应用层中的自定义协议,虽然自定义协议显得很灵活可以根据需求随时更改,但是在实际生活中自定义的协议使用的还

    2024年02月05日
    浏览(82)
  • 计算机网络——HTTP协议

            HTTP(超文本传输协议),定义在RFC2616中,是用于分布式和协作式多媒体系统之间交互的应用层通信协议。         HTTP是一个无状态协议,意味着它不保存先前交互的记录。每个请求都独立于其他请求处理。         HTTP旨在促进客户端和服务器在分布式系

    2024年01月21日
    浏览(61)
  • 网络安全与计算机网络基础知识

    首先网络实现通信和资源共享、分布处理,包括软件和硬件。其次iso网络7层和TCP/ip4层(没有物理层和数据链路层)协议,然而教学中用的五层,要了解每一层的协议、功能和是否可靠传输。再次IP地址的学习IPv4 32位 IPv6128位,A类B类C类网络地址,子网划分,路由算法,地址解

    2023年04月11日
    浏览(50)
  • 计算机网络(5) --- http协议

    计算机网络(4) --- 协议定制_哈里沃克的博客-CSDN博客 协议定制 https://blog.csdn.net/m0_63488627/article/details/132070683?spm=1001.2014.3001.5501 目录 1.http协议介绍 1.协议的延申 2.http协议介绍 3.URL 4.urlencode和urldecode 2.HTTP协议结构 1.引入 2.细节 3.HTTP协议的使用 1.协议 2.网页配置 3.HTTP请求方法

    2024年02月14日
    浏览(48)
  • 计算机网络——应用层与网络安全(六)

    前言: 前几章我们已经对TCP/IP协议的下四层已经有了一个简单的认识与了解,下面让我们对它的最顶层,应用层进行一个简单的学习与认识,由于计算机网络多样的连接形式、不均匀的终端分布,以及网络的开放性和互联性等特征,使通过互联网传输的数据较易受到监听、截

    2024年01月18日
    浏览(43)
  • 【网络奇缘】- 计算机网络|深入学习物理层|网络安全

    ​ 🌈个人主页:  Aileen_0v0 🔥系列专栏:  一见倾心,再见倾城  ---  计算机网络~ 💫个人格言:\\\"没有罗马,那就自己创造罗马~\\\" 回顾链接: 这篇文章是关于深入学习原理参考模型-物理层的相关知识点, “学不可以已” 话不多说,开始学习之旅⛵吧~   ​ 目录 ​物理层 定义 传

    2024年02月05日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包