企业官网建设流程全解析

青冈县网站建设,排名函数rank怎么用,新东方烹饪培训学校,网站建设哪公司好一、Web基础知识 1.http协议 超文本传输协议是互联网上应用最广泛的一种网络协议。所有www文件都必须遵守的一个标准#xff0c;是以 ASCII 码传输#xff0c;建立在 TCP/IP 协议之上的应用层规范#xff0c;简单点说就是一种固定的通讯规则。 2.网络三种架构及特点 网络…一、Web基础知识1.http协议超文本传输协议是互联网上应用最广泛的一种网络协议。所有www文件都必须遵守的一个标准是以 ASCII 码传输建立在 TCP/IP 协议之上的应用层规范简单点说就是一种固定的通讯规则。2.网络三种架构及特点网络应用程序架构包括三种客户机/服务器结构C/S浏览器/服务器结构B/SP2P结构C/S架构需要安装特定的客户端程序针对不同平台开发不同版本升级应用需重新安装能够直接使用客户端硬件资源B/S架构客户端无需安装有Web浏览器即可跨平台能力无缝升级客户端免维护P2P架构点到点系统不需要服务器中转客户端与客户端彼此直接通信3. Web应用的特点应用是图形化和易于导航的能够在页面显示色彩丰富的图形和文本。应用与平台无关可以使用任何平台通过internet访问。Web应用是分布式的不同的信息可以放在不同的站点上。Web应用是动态的web站点的信息包含站点本身的信息信息的提供者也可以对网站的信息进行更新。4.URL组成Protocol:指定使用的传输协议hostname:主机名port端口号path路径parameters参数query可选用于给动态网页传递参数可有多个参数用“”符号隔开每个参数的名和值用“”符号隔开。fragment信息片段字符串用于指定网络资源中的片断。6.Http协议的性质HTTP是简单的HTTP是可扩展的HTTP是无状态有会话的HTTP是可靠的7.请求响应报文的格式HTTP请求报文分为三部分请求行 请求方法、URL、协议版本等消息报头请求头 由一个头域名、冒号和值域组成请求体响应响应行 协议和状态码 状态码分类响应头响应体8.请求方法GET POST OPTIONS HEAD PUT DELETE TRACE CONNECT9.http缓存缓存是一种保存资源副本并在下次请求时直接使用该副本的技术。当 web 缓存发现请求的资源已经被存储它会拦截请求返回该资源的拷贝而不会去源服务器重新下载。这样带来的好处有缓解服务器端压力提升性能(获取资源的耗时更短了)。10.缓存新鲜度如何判断Web服务器通过2种方式来判断浏览器缓存是否是最新的1、 Last-Modified和If-Modified-Since2、 ETags和If-None-Match11.Http重定向原理以及状态码在 HTTP 协议中重定向操作由服务器通过发送特殊的响应即 redirects而触发。HTTP 协议的重定向响应的状态码为 3xx 。浏览器在接收到重定向响应的时候会采用该响应提供的新的 URL 并立即进行加载大多数情况下除了会有一小部分性能损失之外重定向操作对于用户来说是不可见的。1XX 指示信息2XX 请求发送成功3XX 重定向4XX 客户端发送的请求有语法错误5XX 服务器错误12.HTTPS协议 数字证书HTTPS协议是以安全为目标的HTTP通道其实就是HTTP的升级版本数字证书是由权威的CACertificate Authority机构给服务端进行颁发CA机构通过服务端提供的相关信息生成证书证书内容包含了持有人的相关信息服务器的公钥签署者签名信息数字签名等最重要的是公钥在数字证书中。13.HTTPS协议与HTTP协议的区别HTTP是超文本传输协议信息是明文传输HTTPS则是具有安全性的SSL加密传输协议。HTTP采用80端口连接而HTTPS则是443端口。HTTPS协议需要到ca申请证书一般免费证书很少需要交费也有些web容器提供如TOMCAT。HTTP协议不需要。14. Web客户端的作用用来发送HTTP请求接收服务器响应把服务器返回的HTML代码渲染成界面Web客户端来主要是浏览器。15.Web服务端作用监听客户请求处理客户端的简单请求一般静态页面客户端与数据库之间的屏障处理复杂系统的业务和数据库的访问16.集群环境的作用集群环境服务器集群是指将很多服务器集中起来去进行同一种服务。集群可以利用多个计算机并行计算从而获得很高的计算速度负载均衡也可以用多个计算机做备份从而使得实现故障转移。17.什么是CookieCookie的作用。Cookie: Cookie实际上是一小段的文本信息key-value格式。客户端向服务器发起请求如果服务器需要记录该用户状态就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie以此来辨认用户状态。18.Cookie 的类型会话Cookie保存在内存中由浏览器维护浏览器关闭后消失。持久性Cookie保存在硬盘里有过期时间用户手动清理或到了过期时间持久性Cookie会被删除。Expires属性Cookie中的maxAge用来表示该属性单位为秒。19.session的作用和原理在计算机中尤其是在网络应用中称为“会话控制”。Session对象存储特定用户会话所需的属性及配置信息。这样当用户在应用程序的Web页之间跳转时存储在Session对象中的变量将不会丢失而是在整个用户会话中一直存在下去。Session的原理用户第一次请求服务器时服务器端会生成一个sessionId服务器端将生成的sessionId返回给客户端通过set-cookie客户端收到sessionId会将它保存在Cookie中当客户端再次访问服务端时会带上这个sessionId当服务端再次接收到来自客户端的请求时会先去检查是否存在sessionId不存在就新建一个sessionId重复1,2的流程如果存在就去遍历服务端的session文件找到与这个sessionId相对应的文件文件中的键值便是sessionId值为当前用户的一些信息此后的请求都会交换这个 sessionId 进行有状态的会话Session的两种实现方式也就是传递方式通过Cookie实现通过URL重写来实现Session 与Cookie的区别Cookie的数据保存在客户端浏览器Session保存在服务器服务端保存状态机制需要在客户端做标记所以Session可能借助Cookie机制Cookie通常用于客户端保存用户的登录状态Session是可以存取任何类型的数据的但是Cookie只能存入字符串Cookie存储数据大小有限制Session没有限制20. Token的原理用户通过用户名和密码发送请求。程序验证。程序返回一个签名的token给客户端。客户端储存token并且每次用于每次发送请求。服务端验证token并返回数据。21.数据的编码方式url编码是一种浏览器用来打包表单输入的格式。Base64就是一种用64个ASCII字符来表示任意二进制数据的方法。MD5 为计算机安全领域广泛使用的一种散列函数用以提供消息的完整性保护。目前不可逆解。22.Web测试的类型界面测试导航测试、图形测试、内容测试、整体界面测试、界面控件测试功能测试性能测试兼容性测试安全性测试等23.H5优点跨平台优势H5页面在各个平台都适用且可以在网页上直接进行调试和修改开发和维护的成本较低开发周期较短。强化了Web网页的表现性能。除了可描绘二维图形外还准备了用于播放视频和音频的标签。追加了本地数据库等Web应用的功能。H5营销的数据统计方便24. APP测试/Web测试/H5测试的区别相同之处针对同一个系统功能的测试三端所测的业务流程是一样的一般情况下手机端和PC端都对应一套后台服务也有一些功能比如PC与手机端展示不一致或者有什么特殊处理这样情况下后台会写两套不同的接口来处理对应的业务需求不同之处测试平台容器不同兼容性测试不同系统架构不一样发布流程不同APP还有一些专项测试25.移动端常用的三种开发模式主要有原生APPNative App、混合APPHybrid App、WEB APP三种.二、探索式测试传递测试法看数据测一送一 同时执行两种同样的操作。遍历测试法 测试弹窗测试所有弹窗。破坏测试法比如网络或者内存。前四种主要是全局的三、敏捷测试方法3.1 瀑布模型和敏捷模型比较顺序瀑布模型简单分阶段阶段间存在因果关系不支持用户参与要求预先确定需求。使用范围需求易于完善定义且不易变更的软件系统。敏捷迭代不要求需求预先完备定义支持用户参与支持需求的渐进式完善和确认能够适应用户需求的变化。使用范围需求复杂、难以确定、动态变化的软件系统3.2 Scrum框架包括3个角色、3个工件、5个事件、5个价值3个角色产品负责人 ScrumMaster 开发团队3个工件产品BacklogSprintBacklog产品增量5个事件SprintSprint本身是一个事件包括了如下4个事件Sprint计划会议每日站会Sprint评审会议Sprint回顾会议5个价值承诺 – 愿意对目标做出承诺专注– 把你的心思和能力都用到你承诺的工作上去开放– Scrum 把项目中的一切开放给每个人看尊重– 每个人都有他独特的背景和经验勇气– 有勇气做出承诺履行承诺接受别人的尊重3.3 用户故事包含三个要素角色(who) :谁要使用这个活动(what) :要完成什么活动价值(value) :为什么要这么做这么做能带来什么价值3.4 用户故事的特性独立的可讨论的有价值的可估算的小的可测试的3.5用户故事的优先级1.Must 2.Should 3.Could 4.Would Not3.6 看板的作用明确的阶段及准入准则。每个阶段的任务数量控制在制品4。交付周期中的各个时间长度。待交付价值已交付价值。信息的可视化及变化通知。3.7 什么是devops:文化改变自动化工具不断变化的市场。也是开发模式敏捷自动化工具3.8 测试左移 和 测试右移测试左移评审技术对齐自测赋能多角色协作测试右移灰度监控问题归因四、web安全4.1 渗透测试主要做什么通过实际的攻击进行安全测试与评估的方法就是渗透测试4.2 渗透测试的流程明确目标信息收集漏洞探测漏洞验证编写报告信息整理与分析4.3 信息收集的内容域名信息敏感目录端口扫描旁站C段整站分析4.4 同源策略概念及意义概念两个页面地址中的协议域名(或IP)子域名端口号一致则表示同源意义限制了来自不同源的“document”或脚本对当前“document”读取或设置某些属性4.5 浏览器沙箱沙箱Sandbox:泛指“资源隔离类模块”的代名词设计沙箱的目的让不可信任的代码运行在一定的环境中限制不可信任的代码访问隔离区之外的资源如果一定要跨越沙箱边界产生数据交换则只能通过指定的数据通道比如经过封装的API来完成在这些API中会严格检查请求的合法性4.6 恶意网址拦截机制浏览器周期性地从服务器端获取一份最新的恶意网址黑名单如果用户上网访问的网址存在于此黑名单中浏览器就会弹出一个警告页面4.7 XSS攻击的原理攻击者可以在之间输入JavaScript代码实现一些“特殊效果”在真实的攻击中攻击者不仅仅弹出一个框通常使用方式来加载外部脚本而在x.txt中就存放着攻击者的恶意JavaScript代码这段代码可能是用来盗取用户的Cookie也可能是监控键盘记录等恶意行为4.8 xss三种类型反射型将恶意代码附着在参数中实例储存型当用户提交一段XSS代码后被服务器端接收并存储当攻击者再次访问某个页面时这段XSS代码被程序读出来响应给浏览器DOM通过JavaScript修改页面的DOM节点形成的XSS4.9 XSS漏洞防范过滤 htmlPHP输出到JS代码中或者开发Json API的则需要前端在JS中进行过滤在设置Cookie时加上HttpOnly参数4.10 什么是sql注入SQL注入是将Web页面的原URL、表单域或数据包输入的参数修改拼接成SQL语句传递给Web服务器进而传给数据库服务器以执行数据库命令4.11 sql注入的类型?字符型注入数字型注入盲注联合注入4.12 盲注的类型布尔盲注时间盲注4.13 什么是文件包含漏洞开发人员为了增加代码的灵活性通常会将被包含的文件设置为变量用来进行动态调用但正是由于这种灵活性从而导致客户端可以调用一个恶意文件造成文件包含漏洞。PHP、JSP、ASP等语言中都可能会有文件包含漏洞但PHP中居多。4.14 利用文件包含漏洞满足下面两个条件Include()等函数通过动态变量的方式引入需要包含的文件用户能够控制该动态变量4.15 文件包含漏洞预防严格判断包含中的参数是否外部可控因为文件包含漏洞利用成功与否的关键点就在于被包含的文件是否可被外部控制;路径限制:限制被包含的文件只能在某一文件夹内, 一定要禁止目录跳转字符如“…/”;包含文件验证:验证被包含的文件是否是白名单中的一员;尽量不要使用动态包含可以在需要包含的页面固定写好如: include(“head.php”);.4.16 文件上传检测的内容客户端检测客户端使用JS检测在文件未上传时就对文件进行验证服务器端检测检测文件扩展名是否合法检测文件中是否嵌入恶意代码4.17 防范文件上传漏洞常见方法文件上传的目录设置为不可执行判断文件类型使用随机数改写文件名和文件路径单独设置文件服务器的域名4.18 什么是点击劫持攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe的位置可以诱使用户恰好点击在iframe页面的一些功能性按钮上。1​4.19 CSRF原理是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作如发邮件发消息甚至财产操作如转账和购买商品。由于浏览器曾经认证过所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞简单的身份验证只能保证请求发自某个用户的浏览器却不能保证请求本身是用户自愿发出的。4.20 CSRF的防御验证 HTTP Referer 字段二次确认输入验证码Token认证使用Token防御CSRFCookie Hashing4.21 HTML5安全问题CORS攻击Web Storage攻击Web Worker攻击新标签攻击4.22 session的攻击方式会话固定攻击利用应用系统在服务器的会话ID固定不变机制借助他人用相同的会话ID获取认证和授权然后利用该会话ID劫持他人的会话以成功冒充他人造成会话固定攻击。Session保持攻击Session是有生命周期的攻击者持有一个有效的Session若Session一直未能失效则攻击就通过此有效的Session一直使用用户的账户成为一个永久的“后门”。4.23 单点登录简称SSO。在多个应用系统中只需要登录一次就可以访问其他所有的应用系统。4.24 基于角色的访问控制和基于数据的访问控制基于角色的访问控制:访问控制实际上是建立用户与权限之间的对应关系由于水平权限管理是系统缺乏一个数据级的访问控制所造成的4.25 OAuth 2.0 原理OAuth引入了一个授权环节来解决上述问题。第三方应用请求访问受保护资源时资源服务器在获准资源用户授权后会向第三方应用颁发一个访问令牌(AccessToken)。该访问令牌包含资源用户的授权访问范围、授权有效期等关键属性。第三方应用在后续资源访问过程中需要一直持有该令牌直到用户主动结束该次授权或者令牌自动过期。4.26 四种授权方式授权码隐藏式密码式客户端凭证n一直未能失效则攻击就通过此有效的Session一直使用用户的账户成为一个永久的“后门”。4.23 单点登录简称SSO。在多个应用系统中只需要登录一次就可以访问其他所有的应用系统。4.24 基于角色的访问控制和基于数据的访问控制基于角色的访问控制:访问控制实际上是建立用户与权限之间的对应关系由于水平权限管理是系统缺乏一个数据级的访问控制所造成的4.25 OAuth 2.0 原理OAuth引入了一个授权环节来解决上述问题。第三方应用请求访问受保护资源时资源服务器在获准资源用户授权后会向第三方应用颁发一个访问令牌(AccessToken)。该访问令牌包含资源用户的授权访问范围、授权有效期等关键属性。第三方应用在后续资源访问过程中需要一直持有该令牌直到用户主动结束该次授权或者令牌自动过期。4.26 四种授权方式授权码隐藏式密码式客户端凭证互动话题如果你想学习更多网安方面的知识和工具可以看看以下题外话题外话今天只要你给我的文章点赞我私藏的网安学习资料一样免费共享给你们来看看有哪些东西。网络安全学习资源分享:下面给大家分享一份2025最新版的网络安全学习帮助新人小白更系统、更快速的学习黑客技术读者福利 |CSDN大礼包《网络安全入门进阶学习资源包》免费分享安全链接放心点击!