resultful风格:前后端分离,后端需要一种设计模式来规范约束。
每一个URL代表一种资源;客户端和服务器之间,传递这种资源的某种表现层;客户端用户四个HTTP动词,对服务器资源进行操作,实现“表现层状态转化”。
Web开发中的存在安全漏洞:csrf利用cookie进行跨域伪造攻击,SQL注入。
csrf是跨站请求伪造,攻击者伪造用户信息,像访问一个用户自己曾经认证的网站发送出去。譬如用户访问网站A留下了cookie,又访问网站B B网站携带攻击性代码访问。
防御CSRF攻击:主要有三个策略:验证Http Refer字段、有请求地址中添加token并验证、在HTTP头中自定义属性并验证;
验证HTTP Referer字段:譬如Refer字段,用户每次登陆都要先登陆一个域名,再通过才触发下一步事件。
在请求地址中添加token并验证:携带随机token,无法伪造。服务端加一个拦截器来验证这个token。
在HTTP头中自定义属性并验证:和http请求携带token的方法类似,但这种是放在请求头中。
Http如何保持安全传输:
重要数据加密:比如用户名和密码,我们需要加密。
非重要数据要签名:签名的目的是防止篡改。
登陆态怎么做:http是无状态,请求带上token,判断token是否过期;
