Web应用安全技术原理与实践 课件 第1章 Web应用概述

Web应用安全第一章概述本章要求1了解Web技术产生的历史背景2理解Web技术基本原理3理解课程的目标和教学内容4理解课程的教学方法和相关要求2互联网解决的基本问题是什么？3完成计算机网络课程的学习后，请同学们回顾内容，回答下面一个基本问题：基本问题：实现计算机之间的互联互通，构建网络基础设施（建网问题）1969年，ARPANET诞生4如何利用互联网的互联互通能力，实现有价值的应用呢？网络应用程序开发5互联网典型应用FTP：FileTransferProtocol，1971年，RFC114近半个世纪来，FTP一直都是因特网中最重要、最广泛的网络应用程序之一电子邮件，1972年电子邮件已经成为互联网中非常广泛的网络应用程序之一新闻组，1979年，分布式的网上讨论组网络新闻组现在应用还非常广泛，不过该服务一般不是免费的远程登录，1983年，RFC854远程登录应用技术不断发展和应用，当前SSH（SecureShell）由于其安全性强等特点成为主流的远程登录应用6互联网典型应用7互联网典型应用分析早期互联网经典应用主要使用人群是专业人员，主要应用领域是教学和科研领域，普通用户对早期互联网应用需求不大。第一次互联网浪潮时间区间：约上世纪70年代-90年代关键事件：世界范围网络互联互通1994年，中国连接互联网结论1真正让普通用户感受互联网的魅力的应用第二次互联网浪潮时间区间：约上世纪90年代-21世纪10年代关键事件：Web的出现和普及结论28Web技术简史1984年：Tim正式入职CERN，职责是信息管理WorldWideWebTimBerners-Lee世界各地的物理学家需要分享实验数据和相关实验经验，但是缺乏机器和软件CERN是欧洲最大的互联网节点；TCP/IP协议软件已经免费使用1989年3月：第一次项目申请，但是失败了……1990年5月：第二次项目申请，还是失败了……××××××核心思想：互联网+超文本Web技术的诞生欧洲核子研究组织9Web技术简史Web技术的诞生1990年9月：NEXT电脑到位，Tim开始为梦想工作千里马常有，而伯乐不常有，还好有MikeSendall1990年圣诞节：Web所需要的组件开发完毕HyperTextTransferProtocol(HTTP)0.9HyperTextMarkupLanguage(HTML),Webbrowser(WorldWideWeb/Webeditor)HTTPserversoftware(CERNhttpd)第一个Web网址：info.cern.ch解决了网络内容发布平台问题1011Web技术原理浏览器、HTTP协议、Web服务器、静态Web网页Web1.0浏览器、HTTP协议、Web服务器、静态Web网页、动态Web网页（Web应用程序）、数据库等资源Web2.012Web前端Web前端是向Web服务器资源请求，并将响应的Web网页信息进行展示或处理的应用程序，如浏览器、网络爬虫、AJAX请求等浏览器按照网页描述的格式显示网页内容微软公司IE浏览器Edge浏览器免费开源Firefox浏览器谷歌公司Chrome浏览器苹果公司Safari浏览器网景公司（Netscape）Navigator浏览器13Web前端Web网页-HTML语言HTML语言即超文本标记语言，它通过标签来标记不同的信息，主要用于描述Web网页中的展示信息，如文字、图像、音频、视频等信息1990年，吸收了SGML（StandardGeneralizedMarkupLanguage）思想，创立HTML语言1995年，HTML2.0版本，1997年，HTML3.2版本，1997年，HTML4.0版本发布（引入CSS）问题1：语法规则严谨；问题2：遇到错误时，浏览器如何恢复2000年，发布XHTML1.0；2009年，放弃XHTML2.02014年，W3C发布了HTML5的规范，规范目前还在持续完善中14Web前端Web网页-CSS层叠样式表CSS（CascadingStyleSheets）为HTML标记语言提供了一种样式描述，定义了其中元素的显示方式早期的HTML语言没有元素显示方式的表示能力，后期添加了元素显示方式的表示能力，但是元素表示和元素显示方式混编在一起，带来了很多的不便1994年，HkonWiumLie最初提出了CSS想法，并联合BertBos一起创造了CSS的最初版本1996年底，W3C发布了CSS规范第一版，并于1997年颁布CSS1.0版1998年5月，CSS2.0版本正式发布，2005年12月，W3C启动CSS3.0版本的研发15Web前端Web网页-JavaScript语言对于Web应用而言，JavaScript语言通过浏览器执行，完成与用户以及和远程服务器的交互功能。在早期的Web技术应用过程中，用户输入数据都会被传到服务器端进行验证，而当时的互联网用户的网速很慢，这使得用户的体验效果不好动机分析Netscape公司的布兰登.艾奇（BrendanEich）设计并开发了一种新的脚本语言LiveScript，1995年2月正式发布时，更名为JavaScript语言1997年，ECMA（EuropeanComputerManuafacturersAssociation，欧洲计算机制造协会）以JavaScript1.1为蓝本，定义了一种新的脚本语言ECMAScript2015年6月，ECMAScript6版本发布16Web服务器端Web服务器Web服务器是响应浏览器等Web前端请求的服务程序，也称为WWW服务器Apache服务器是Apache软件基金会开放源码的Web服务器，由于其多平台和安全性被广泛使用，是最流行的Web服务器Tomcat服务器是一个免费的开放源代码的Web应用服务器，属于轻量级Web服务器，是开发和调试JSP程序的首选。IIS是由微软公司提供的互联网基本服务，包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器等。Nginx是由伊戈尔·赛索耶夫开的轻量级Web服务器，同时也是反向代理服务器和电子邮件代理服务器。17Web服务器端Web应用程序Web应用程序是对Web服务器功能的扩展，它是通过Web服务器启动运行的应用程序，一般通过脚本语言来实现编程采用PHP语言，网站占比约80%，目前最高版本是8，开源免费，支持面向对象编程。（JavaServerPages）采用JAVA语言，网站占比约3.6%，SUN公司主导，支持面向对象编程。*（ActiveServerPages.NET）采用.NET兼容语言（如C#），网站占比约8.4%，Miscrosoft公司主导，支持面向对象编程。18Web服务器端数据库其他操作系统、文件系统、网络资源、……数据库（database，DB）是指长期存储在计算机内的，有组织，可共享的数据的集合，管理数据库的系统称为数据库系统。19HTTP协议Web客户端和服务器端的通信采用的是HTTP协议（HyperTextTranferProtocol）。HTTP协议下层使用TCP协议来传输数据，从而保证数据的可靠性。1991年，HTTP协议的第一个规范文档发布，被称为HTTP/0.9。只支持GET方法，Web客户端只支持ASCII文本，服务器使用HTML格式的消息进行响应。1996年5月，HTTP/1.0发布--RFC1945。除了GET方法外，还支持HEAD和POST方法、HTTP协议版本号信息、HTTP首部信息、多媒体对象的处理1997年1月，HTTP/1.1版本发布，它支持持久的keep-alive连接、管道化技术、虚拟Web服务器、代理连接等。1999年6月被修订为RFC2616。2014年6月再次修订，包括RFC7230-RFC7235，2022年6月，RFC7230修订为RFC91122015年5月，HTTP2.0标准发布，对应RFC7540，2022年6月修订为RFC9113；2022年6月，HTTP3.0标准发布，对应RFC911420面向对象编程和编程模式面向对象编程（ObjectOrientedProgramming，OOP）是作用计算机编程架构，它的一条基本原则是计算机程序由单个能够起到子程序作用的单元或对象组合而成面向对象主要特点封装性：将对象的成员属性和成员方法结合成一个独立的单元，以隐蔽对象的内部细节继承性：一个新的派生类时，从一个先前定义的类中继承属性和方法，同时可以重新定义或加进新的属性和方法，从而建立类之间的层次或等级关系多态：同一类的同一成员方法输入不同类型的参数，或者具有继承关系的类多个类对同一成员方法，可以有不同的行为和实现面向对象定义针对PHP语言21面向对象编程和MVC模式MVC模式视图（View）表示用户交互界面，简单来说，就是HTML文档界面模型（Model）是Web应用系统的业务流程，是系统设计的核心控制器（Controller）作用可以理解为接收操作请求，并将模型和视图关联在一起，完成操作请求并显示操作请求的结果XeroxPRAC（施乐帕克研究中心）在20世纪80年代为编程语言Smalltalk-80而发明的一种软件设计模式。采用MVC模式可以将程序的输入、处理和输出分开，各个模块可以各自独立完成，非常方便实现项目的分工合作。22典型Web应用Web1.0时代门户网站由于其信息比较全面（一般包含网站黄页系统）而得到用户的青睐，如Yahoo、搜狐、新浪、网易Web1.0时代也称为门户网站时代23典型Web应用Web2.0时代用户除了可以通过Web系统获取信息外，还高度参与Web系统中的信息发布博客的流行是Web2.0时代到来的标志1997年12月，出现web