Web实战.docVIP

Web安全基础 Web应用程序安全的关键问题因素： 不成熟的安全意识 独立开发 欺骗性的简化 迅速发展的威胁形式 资源与时间限制 技术上强其所难  Web应用程序使用三层相关联的安全机制处理用户访问： 身份验证 会话管理 访问控制  处理用户输入： 输入的多样性 输入处理方法： 拒绝已知的不良输入 接受已知的正常输入 净化 安全数据处理 语法检查 边界确认步骤： 应用程序受到用户的登录信息 应用程序执行一个SQL查询检验用户证书 如果用户成功登录，应用程序再将用户资料中的某些数据传送给SOAP服务，经一步获得用户账户的有关信息 应用程序在用户的浏览器中显示用户的帐户信息 多步确认与规范化 处理攻击者： 处理错误 维护审计日志 向管理员发出警报 应对攻击  HTTP HTTP请求：每个HTTP请求的第一行都由三个以空格间隔的项目组成 三个项目： 一个说明HTTP方法的动词（最常用的是GET） 被请求的URL 使用的HTTP版本 HTTP响应：每个HTTP响应的第一行都由三个以空格间隔的项目组成 三个项目： 使用的HTTP版本 表示请求结果的数字状态码 一段文本形式的“原因短语”，进一步说明响应状态 HTTP方法： GET——获取资源 POST——执行操作 HEAD——与GET类似，但服务器不会在其响应中返回消息主体 TRACE——诊断目的 OPTIONS——要求服务