第1章 了解Web及网络基础 1
1.1使用HTTP协议访问Web 2
1.2 HTTP的诞生 3
1.2.1为知识共享而规划Web 3
1.2.2 Web成长时代 4
1.2.3驻足不前的HTTP 5
1.3网络基础TCP/IP 6
1.3.1TCP/IP协议族 6
1.3.2 TCP/IP的分层管理 7
1.3.3TCP/IP通信传输流 9
1.4与HTTP关系密切的协议:IP、TCP和DNS 10
1.4.1负责传输的IP协议 11
1.4.2确保可靠性的TCP协议 12
1.5负责域名解析的DNS服务 13
1.6各种协议与HTTP协议的关系 14
1.7 URI和URL 16
1.7.1统一资源标识符 16
1.7.2 URI格式 17
第2章 简单的HTTP协议 21
2.1 HTTP协议用于客户端和服务器端之间的通信 22
2.2通过请求和响应的交换达成通信 22
2.3 HTTP是不保存状态的协议 25
2.4请求URI定位资源 26
2.5告知服务器意图的HTTP方法 27
2.6使用方法下达命令 33
2.7持久连接节省通信量 34
2.7.1持久连接 36
2.7.2管线化 37
2.8使用Cookie的状态管理 37
第3章 HTTP报文内的HTTP信息 41
3.1 HTTP报文 42
3.2请求报文及响应报文的结构 42
3.3编码提升传输速率 44
3.3.1报文主体和实体主体的差异 44
3.3.2压缩传输的内容编码 44
3.3.3分割发送的分块传输编码 45
3.4发送多种数据的多部分对象集合 46
3.5获取部分内容的范围请求 48
3.6内容协商返回最合适的内容 50
第4章 返回结果的HTTP状态码 53
4.1状态码告知从服务器端返回的请求结果 54
4.2 2XX成功 55
4.2.1 200 OK 55
4.2.2 204 No Content 56
4.2.3 206 Partial Content 56
4.3 3XX重定向 56
4.3.1 301 Moved Permanently 57
4.3.2 302 Found 57
4.3.3 303 See Other 58
4.3.4 304 Not Modified 59
4.3.5 307Temporary Redirect 59
4.4 4XX客户端错误 60
4.4.1 400 Bad Request 60
4.4.2 401 Unauthorized 60
4.4.3 403 Forbidden 61
4.4.4 404 Nof Found 61
4.5 5XX服务器错误 62
4.5.1 500 Internal Server Error 62
4.5.2 503 Service Unavailable 62
第5章与HTTP协作的Web服务器 65
5.1用单台虚拟主机实现多个域名 66
5.2通信数据转发程序:代理、网关、隧道 67
5.2.1代理 68
5.2.2网关 70
5.2.3隧道 70
5.3保存资源的缓存 71
5.3.1缓存的有效期限 72
5.3.2客户端的缓存 72
第6章HTTP首部 75
6.1 HTTP报文首部 76
6.2 HTTP首部字段 78
6.2.1 HTTP首部字段传递重要信息 78
6.2.2 HTTP首部字段结构 78
6.2.3 4种HTTP首部字段类型 79
6.2.4 HTTP/1.1首部字段一览 80
6.2.5非HTTP/1.1首部字段 82
6.2.6 End-to-end首部和Hop-by-hop首部 83
6.3 HTTP/1.1通用首部字段 83
6.3.1 Cache-Control 84
6.3.2 Connection 91
6.3.3 Date 93
6.3.4 Pragma 94
6.3.5Trailer 95
6.3.6Transfer-Encoding 96
6.3.7 Upgrade 97
6.3.8 Via 98
6.3.9 Warning 99
6.4请求首部字段 100
6.4.1 Accept 101
6.4.2 Accept-Charset 102
6.4.3 Accept-Encoding 103
6.4.4 Accept-Language 104
6.4.5 Authorization 105
6.4.6 Expect 106
6.4.7 From 107
6.4.8Host 107
6.4.9 If-Match 108
6.4.10 If-Modified-Since 110
6.4.11 If-None-Match 111
6.4.12 If-Range 112
6.4.13 If-Unmodified-Since 113
6.4.14 Max-Forwards 114
6.4.15 Proxy-Authorization 115
6.4.16 Range 116
6.4.17 Referer 116
6.4.18TE 117
6.4.19 User-Agent 118
6.5响应首部字段 119
6.5.1 Accept-Ranges 119
6.5.2 Age 120
6.5.3 ETag 120
6.5.4 Location 122
6.5.5 Proxy-Authenticate 123
6.5.6 Retry-Afrer 123
6.5.7 Server 124
6.5.8 Vary 125
6.5.9 WWW-Authenticate 125
6.6实体首部字段 126
6.6.1 Allow 126
6.6.2 Content-Encoding 127
6.6.3 Content-Language 128
6.6.4 Content-Length 128
6.6.5 Content-Location 129
6.6.6 Content-MD5 129
6.6.7 Content-Range 130
6.6.8 Content-Type 131
6.6.9 Expires 131
6.6.10 Last-Modified 132
6.7为Cookie服务的首部字段 132
6.7.1 Set-Cookie 134
6.7.2 Cookie 136
6.8其他首部字段 137
6.8.1 X-Frame-Options 137
6.8.2 X-XSS-Protection 138
6.8.3 DNT 138
6.8.4 P3P 139
第7章 确保Web安全的HTTPS 141
7.1 HTTP的缺点 142
7.1.1通信使用明文可能会被窃听 142
7.1.2不验证通信方的身份就可能遭遇伪装 146
7.1.3无法证明报文完整性,可能已遭篡改 148
7.2 HTTP+加密+认证+完整性保护=HTTPS 150
7.2.1 HTTP加上加密处理和认证以及完整性保护后即是HTTPS 150
7.2.2 HTTPS是身披SSL外壳的HTTP 151
7.2.3 相互交换密钥的公开密钥加密技术 152
7.2.4证明公开密钥正确性的证书 155
7.2.5 HTTPS的安全通信机制 161
第8章 确认访问用户身份的认证 167
8.1何为认证 168
8.2 BASIC认证 169
8.3 DIGEST认证 171
8.4 SSL客户端认证 173
8.4.1 SSL客户端认证的认证步骤 174
8.4.2 SSL客户端认证采用双因素认证 175
8.4.3 SSL客户端认证必要的费用 175
8.5基于表单认证 175
8.5.1认证多半为基于表单认证 176
8.5.2 Session管理及Cookie应用 177
第9章 基于HTTP的功能追加协议 179
9.1基于HTTP的协议 180
9.2消除HTTP瓶颈的SPDY 180
9.2.1 HTTP的瓶颈 180
9.2.2 SPDY的设计与功能 184
9.2.3 SPDY消除Web瓶颈了吗 185
9.3使用浏览器进行全双工通信的WebSocket 186
9.3.1 WebSocket的设计与功能 186
9.3.2 WebSocket协议 186
9.4期盼已久的HTTP/2.0 189
9.5 Web服务器管理文件的WebDAV 190
9.5.1扩展HTTP/1.1的WebDAV 191
9.5.2 WebDAV内新增的方法及状态码 192
第10章 构建Web内容的技术 195
10.1 HTML 196
10.1.1 Web页面几乎全由HTML构建 196
10.1.2 HTML的版本 197
10.1.3设计应用CSS 198
10.2动态HTML 198
10.2.1让Web页面动起来的动态HTML 198
10.2.2更易控制HTML的DOM 198
10.3 Web应用 200
10.3.1通过Web提供功能的Web应用 200
10.3.2与Web服务器及程序协作的CGI 200
10.3.3因Java而普及的Servlet 201
10.4数据发布的格式及语言 203
10.4.1可扩展标记语言 203
10.4.2发布更新信息的RSS/Atom 204
10.4.3 JavaScript衍生的轻量级易用JSON 206
第11章 Web的攻击技术 207
11.1针对Web的攻击技术 208
11.1.1 HTTP不具备必要的安全功能 208
11.1.2在客户端即可篡改请求 209
11.1.3针对Web应用的攻击模式 210
11.2因输出值转义不完全引发的安全漏洞 212
11.2.1跨站脚本攻击 213
11.2.2 SOL注入攻击 218
11.2.3 OS命令注入攻击 223
11.2.4 HTTP首部注入攻击 225
11.2.5邮件首部注入攻击 228
11.2.6目录遍历攻击 229
11.2.7远程文件包含漏洞 230
11.3因设置或设计上的缺陷引发的安全漏洞 232
11.3.1强制浏览 232
11.3.2不正确的错误消息处理 234
11.3.3开放重定向 237
11.4因会话管理疏忽引发的安全漏洞 237
11.4.1会话劫持 238
11.4.2会话固定攻击 239
11.4.3 跨站点请求伪造 241
11.5其他安全漏洞 242
11.5.1密码破解 242
11.5.2 点击劫持 247
11.5.3 DoS攻击 249
11.5.4后门程序 250