浏览器->通过网络：将数字信息搬运到指定目的地->web服务器

思路：将数字信息分割成一个一个得小块，然后装入一些被称为‘包’的容器中运送
浏览器：具备多种客户端功能的综合性客户端软件，根据url不同，访问的服务器,协议也不同，例如http访问Web服务器使用http协议 ftp就访问FTP服务器使用ftp协议

URL：https://www.baidu.com/——》https就是协议  //后面的www.baidu.com就是Web服务器名  /后面就是其他路径名，默认index.html或default.html省略
1.浏览器如何解析网址-》知道域名，需要知道IP地址，浏览器通过域名向DNS服务器查询域名对应的IP地址（？）


TCP/IP：




 子网（用集线器连接起来的几台计算机）通过路由器连接网络，路由器连接子网形成大网络


 IP地址访问对象服务器的网址：发送者发送消息经过子网中的集线器，转发到最近的路由器，路由器根据目的地在转发到下一个路由器，直到目的地


IP地址：


网络号+主机号，一串32比特的数字，按照8比特为一组分成4组(用十进制表示，用.隔开：10.11.12.13)

子网掩码：表示IP地址的内部结构，表示网络号和主机号之间的边界。也是32比特，分为4组




为什么不用域名代替IP地址：域名需要处理几十到255个字节的字符，并且长度不固定。而IP只需处理长度固定的4到32个字节

获取IP的过程： DNS客户端<=>DNS解析器,通过解析器【操作系统的Socket库(调用网络功能的程序组件集合，解析器就是其中一种)中的库(库：相当于组件库)】 (将Web服务器域名和解析器的程序名称)向DNS服务器[IP地址事先设置好的]发出查询：(解析器发送消息是委托给操作系统内部的协议栈【操作系统内部的网络控制软件】来执行，因为解析器本身不具备使用网络收发数据的功能<=>解析器调用协议栈，协议栈执行发送消息，然后通过网卡将消息发送给DNS服务器)，服务器返回响应信息(包含IP地址)，通过网卡传到解析器，解析器取出IP地址，写入浏览器指定的内存中。浏览器在向Web服务器发送消息时，从内存中取出IP地址，与HTTP请求消息一起交给操作系统。



DNS服务器查找：最近的DNS服务器->根域DNS服务器>下一级DNS服务器…->目标DNS服务器 将根域DNS服务器保存在每个DNS服务器中，这样就很方便的找到



2.浏览器怎样请求消息来告知服务器

浏览器向服务器发送请求消息：对什么(URI:各种访问目标)，怎么操作(方法：让Web服务器完成怎样的工作；GET/POST/HESAD/OPTIONS/PUT/DELETE/TRACE/CONNECT)-》响应消息(状态码表示成功还是失败)-》客户端

生成HTTP请求消息：对URL进行解析：浏览器确定了Web服务器和文件名-》生成HTTP请求消息（格式上有严格规定）


3.浏览器会委托操作系统向web服务器发送请求（？）

浏览器委托操作系统的协议栈来发送数字信息(HTTP消息)，按照指定的顺序来调用Socket库中的程序组件。

收发数据的两台计算机之间连接了一条数据通道(先要建立这条管道，关键在于管道两端的数据出入口，也就是套接字【存放控制信息的内存空间就是套接字的实体】)，其过程如下：(多个套接字就需要描述符来判断识别是哪个套接字)

1.创建套接字(创建套接字阶段)

2.将管道连接到服务器端的套接字上(连接阶段)

3.收发数据（通信阶段）

4.断开管道并删除套接字(断开阶段)

套接字的作用： 协议栈是根据套接字中记录的控制信息来工作的。

创建套接字 ：协议栈首先分配一个套接字所需的内存空间，然后向其中写入初始状态，紧接着将表示套接字的描述符告知应用程序。



当调用connect时(需要指定描述符、服务器IP和端口号【客户端和服务器之间用来识别对方套接字的机制】)，协议栈就会执行连接操作，当连接成功后，协议栈会将对方的IP地址和端口号等信息保存在套接字中，这样就可以开始收发数据
连接  含义：

 连接实际上是通信双方交换控制信息(客户端向服务器传达开始通信的请求，客户端：我想和你开始通信，我的IP地址时xxxx，端口号xxx)
 在执行连接时，需要一块用来临时存放收发数据的内存空间，即缓冲区

控制信息：

 TCP的头部信息：客户端和服务器相互联络时交换的控制信息
 套接字中记录的信息，用来控制协议栈操作的信息(传递，接收到的信息，以及收发状态等信息)



连接过程：

1.在TCP模块处创建表示连接控制信息的头部(通过TCP头部中的发送方和接收方端口号可以找到要连接的套接字)

2.TCP模块将信息传递给IP模块并委托它进行发送，IP模块执行网络包发送操作后，网络包会通过网络到达服务器，然后服务器上的IP模块会将接收到的数据传递给TCP模块，服务器的TCP模块根据TCP头部信息找到端口号对应的套接字，找到套接字后，套接字就会写入响应的信息，并将状态改为正在连接

3.服务器的TCP模块返回响应，过程和客户端一样，需要在TCP头部中设置发送方和接收方端口号,SYN比特以及ACK(相互确认网络包是否已经送达)，接着服务器TCP模块会将TCP头部传递给IP模块，并委托IP模块向客户端返回响应。

4.网络包返回客户端，通过IP模块到达TCP模块，并通过TCP头部信息确认连接服务器操作是否成功。如果SYN是1，则连接成功，向套接字写入服务器的IP地址，端口号等信息，同时将ACK是设置为1并发回服务器，表示响应包已经收到并将状态改为连接完毕。

IP模块：IP头部+MAC头部（MAC:只是发送到哪个路由器地址：根据IP地址查询MAC地址【使用ARP查询：类似广播的方法】；刚开始在ARP缓存【防止IP地址发生变化，ARP缓存过一段时间删除】里查找）




网卡： 将数字信号转换为电信号或光信号



bl80NjcyMjc2NA==,size_16,color_FFFFFF,t_70#pic_center)
收发数据过程： 当connect结束之后，进入write阶段，从应用程序调用write将要发送的数据(二进制字节序列)交给协议栈。

协议栈回会数据放到缓冲区，等待应用程序的下一段数据，积累到一定量在发送出去
发送要素： 发送长度；时间

 MTU：一个网络包的最大长度，以太网中一般1500字节
 MSS：除去头部之后，一个网络包所能包含的TCP数据的最大长度

如果请求消息太长，会进行拆分。



使用ACK确认网络包收到：确定客户端和服务端的初始值。



滑动窗口： 发送一个包之后，不等的ACK号返回，直接发送后续一系列包：前提：接收方告诉发送方最多能接收多少数据，然后根据实际量发送。当接收操作完成后，接收缓冲区的空间会被释放出来，可以接收更多数据，这是接收方通过TCP头部的窗口字段将直接能接收到的数据量告知发送方。



断开连接，删除套接字
另一方都可以发起断开过程，一服务器以放为例：首先，服务器一方的应用程序会调用Socket库的close程序，然后服务器的协议栈会生成断开连接的TCP头部，就是将FIN设为1.接下来，协议栈委托IP模块向客户端发送数据，同时服务器的套接字中会记录下断开操作的相关信息。客户端收到FIN的TCP头部时，客户端的协议栈会将子地套接字标记为断开操作状态。并会向服务器返回ACK号，客户端的应用程序会调用close来结束收发操作，并生成FIN的TCP包，委托IP模块发送给服务器。一段时间之后，服务器会返回ACK号。通信结束。

删除套接字需要等待一段时间，防止在断开连接的操作中出现问题，以免客户端重新发FIN，服务器的套接字删除出席问题。
TCP整个通信过程

UDP
无连接的，一个包的大小范围内可解决的，基于数据报文；可用于发送音频或视频数据


文章图片均来自来自《网络是怎么连接的》

    
 
 
Java web写多了，会发现每次跳转页面或者网页向servlet发出请求，
网址栏会显示要访问的文件的具体位置 ，
即便是异步请求，也需要在js脚本显示要访问的文件的具体位置。
 
我不希望如此！
 
我希望能够将要访问的具体文件位置隐藏起来，用户难以从前端查看到！
事实上，很多对安全要求比较高的网站都有这样的功能需求，比如政府骨干网络，不论怎么进行页面的跳转或请求，都不会显示文件名称与位置
 
话不多说，贴代码
 /** * 下面这个方式进行跳转页面可以掩盖具体文件的名称以及所在位置，
 * 经过这个方法跳转，网址显示一直都是http://localhost:8080/cctv/gg/hh.form?num=参数
 * 由参数进行判断跳到哪个网页
 */

@Controller
@RequestMapping("/gg")
public class GG {
    @RequestMapping("/hh.form")
    public String hh(String num, HttpServletRequest request, HttpServletResponse response) {
        if (num.equals("1")) {
            /**
             * 跳到go.jsp
             */
            System.out.println("异常检测1");
            return "go";
        } else if (num.equals("2")) {
            /**
             * 跳到love.jsp
             */
            System.out.println("异常检测2");
            return "love";
        } else if (num.equals("3")) {

            /**
             * 跳到另一个名为kk的servlet
             */
            System.out.println("异常检测3");
            try {
                request.getRequestDispatcher("/gg/kk").forward(request, response);
            } catch (ServletException | IOException e) {
                e.printStackTrace();
            }

            /**
             * 请求转发后，这个return是没有用的，在这里是用来对应Java语法的，缺少了会报错，写空即可
             */
            return "";
        } else {
            System.out.println("异常检测4");
            return "go";
        }

    }


    @RequestMapping("/kk")
    public String kk(String num) {
        System.out.println("kkkkkkkkkkkkkkkkkkkk");
        return "go";

    }

}

=======================================================================================================================================

根据上面代码，
浏览器输入网址http://localhost:8080/cctv/gg/hh.form?num=1
浏览器显示如下页面
 
 后台打印显示的结果：

 
 
 -------------------------------------------------------------------------------------------------------
接着上面，然后在

浏览器输入网址http://localhost:8080/cctv/gg/hh.form?num=2
浏览器显示如下页面

后台打印显示的结果：

 
 ------------------------------------------------------------------------------------------
接着上面，然后在

浏览器输入网址http://localhost:8080/cctv/gg/hh.form?num=3
浏览器显示如下页面

 
 
 后台打印显示的结果：

-------------------------------------------
 
观察上面3种情况，不论以何种方式访问哪一个页面，http的路径都没有变，变的仅仅是参数num，以此来实现了隐藏要访问文件的具体位置
特别是第三种情况，是实现前端访问servlet时，隐藏了servlet的名字与位置。
 
 
 
 
 ======================================================================================================================================
 
 
最后，巩固一下以前的知识，得注意一下
如下图，当jsp文件在WEB-INF文件夹里面时，不能通过网址直接访问里面的jsp文件，
如http://localhost:8080/cctv/WEB-INF\statics\jsp\go.jsp，会显示404错误，
目前我知道的访问方法：通过servlet返回的路径进行访问该go.jsp文件

 
虽然上图有利于文件的保护，但是，保护措施并不局限于这样一种，个人感觉好鸡肋
解决办法是将jsp文件放于WEB-INF外面，如下图，虽然没有了WEB-INF的保护，但是访问方便很多
 
 
 
可以直接网址访问，http://localhost:8080/cctv/jsp/go.jsp，如下图，
这样的不仅可以通过servlet返回的路径进行访问该go.jsp文件，还可以直接网址访问，用于前端的页面跳转
 

 

转载于:https://www.cnblogs.com/c2g5201314/p/11381103.html

网络安全部寒假训练作业（一）
用本地用phpstudy搭建一个web服务，本地，练习使用phpstudy
这个呢我就用图片来展示我的操作吧，原谅我不知道怎么表达o.o
当然第一步肯定是要打开phpstudy

第二部点击其他选项菜单（我下载的是2018最新版本的），点开后找到一个“站点域名管理”的选项，在里边填写本地网站就好了，注意访问项目路径一定要写正确哦。

2. 在菜鸟教程上学习html，将自己的练习过程写到文档中记录，练习到表单提交。 这个呢，笔记我都在写本子上了，但是为了展示我成果我做了一个网站（当然很垃圾），不过呢里边可是我的学习成果哦！！！！！这里呢因为不会上传文件就把代码献上，图片可能不会显示但。。。请原谅我吧o.o`
<!DOCTYPE html>
<html>
<head>html初步学习展示</head>
<body>
<h1>html初步学习展示<h1>
<h2>html常用标签（一）<h2>
<h3>先来几个水平线</h3>
	<hr />
	<hr />
	<hr />
	<hr />
<h3>主题内容中的标签</h3>
	<h1>标题（一般只是用一次）<h1>
	<h2>标题</h2>
	<h3>标题</h3>
	<h4>标题</h4>
	<h5>标题</h5>
	<h6>标题</h6>
<h3>段落</h3>

    <p>我想你携酒踏月，共享伯牙绝弦，共赴高山流水，死后齐挂东南，亦是万物生长，长出昙花永现。</p>

<h3>换行</h3>
	我想你携酒踏月<br />共享伯牙绝弦<br />共赴高山流水<br />死后齐挂东南<br />亦是万物生长<br />长出昙花永现<br />
<h3>空格</h3>
	我想你携酒踏月&nbsp;&nbsp;共享伯牙绝弦&nbsp;&nbsp;共赴高山流水&nbsp;&nbsp;死后齐挂东南&nbsp;&nbsp;亦是万物生长&nbsp;&nbsp;长出昙花永现&nbsp;<br />
<h3>无需列表<h3>
	<ul>
		<li>我</li>
		<li>爱</li>
		<li>你</li>
	</ul>
<h3>有序列表</h3>
	<ol>
		<li>wo</li>
		<li>ai</li>
		<li>ni</li>
	</ol>
<h2>htmle常用标签（二）</h2>
	子元素，父元素，后代元素，兄弟元素<br />
	<h3>定义列表</h3>
		<dl>
			<dt>渣男</dt>
			<dd>
			所谓渣男和坏男人是完全不同的两个概念，坏是三观不正，而渣是人品问题，有的男人很坏但是不算渣，有些男人不坏但是极渣。一般意义上的“渣男”是说，自我感觉不错、极度自私、擅长索取、不负责任，以玩弄别人感情为乐的坏男人。
			</dd>
		</dl>
	<h3>插入图片</h3>
	<img src="图片.jpg" width="300">
	<h3>超链接</h3>
	这里就给一个超级无敌的网站吧<br />
	<a href="https://www.baidu.com/" title="超级无敌牛逼网站" target="_black">无敌网站</a>
<h2>htmle常用标签（三）表格<h2>
	<table border="50" cellpadding="20">
		<tr><th>姓名</th><th>代号</th><tr>
		<tr><td>宋恒贤</td><td>老煤球</td></tr>
		<tr><td>王慧</td><td>小薛</td></tr>
		<tr><td>刘家鑫</td><td>渣男</td></tr>
	</table>
<h2>html常用标签（四）表单</h2>
	<form>
		<h3>渣男注册<h3>
		姓名：<input type="text" value="刘家鑫" /><br />
		密码：<input type="password" /><br />
		头像：<input type="file" /><br />
		性别：<input type="radio" id="boy" name="sex" checked="checked" /><label for="boy">男</label>　　　<input name="sex" id="girl" type="radio" /><label for="girl">女</label>　　　<input name="sex" id="renyao" type="radio" /><label for="renyao">人妖</label>
		<br />
		<input type="submit" value="确认提交" />
	</form>
</body>
</html>


大家可以复制粘贴观看，当然方法就是创建文本文档将上边的边的代码复制进去，然后将后缀名txt更改为html双加打开便可观看。
3.思考题理解浏览器请求服务器的数据处理流程。理解C/s,b/s 这个东西呢，在我们的第一节公开课已经讲过啦，唉可惜第一次公开课有事没有去，不过呢通过后来看了学长做的文档（这里会献上截图）再加上百度，有了一些自己的认识，这里就和大家分享一下吧。
学长的讲述
我们现在接触网络的方式基本上就是两种，一种是程序安装在我们自己手机或者电脑上的，然后连网的C/S模式（client/server），例如我们用的QQ，王者荣耀，还有一种就是主程序安装在服务端的B/S模式，例如浏览器，网游之列的，而我们在网络安全测试里基本上接触的都是B/S模式。

B/S工作原理：

客户端发送请求： 用户在客户端【浏览器页面】提交表单操作，向服务器发送请求，等待服务器响应
服务器端处理请求： 服务器端接收并处理请求，应用服务器端通常使用服务器端技术，如JSP等，对请求进行数据处理，并产生响应；
服务器端发送响应： 服务器端把用户请求的数据（网页文件、图片、声音等等）返回给浏览器。
浏览器解释执行HTML文件，呈现用户界面。 4. 浏览器解释执行HTML文件，呈现用户界面。



请求和响应：请求就是客户端向服务端发出去的Url，就像我们每天买饭的时候，问老板有饭没，这就是请求，响应就是老板回你的话

可以说学长已经讲得非常生动形象，这里我再述说一下自己的理解

首先呢，服务器不是咱的（这你要首先明确，咱穷）
服务器是被人的，我们要用当然要经过别人的允许（这里我们就要发送请求）
别人听到你的请求后就要看看你会用我的东西干啥，会不会给我弄坏啊，还有就是让你用的好处（这里就是服务器处理你的请求啦）
最后请求成功啦，好啦就是将页面显示出来。

WWW的概念：World Wide Web  万维网 一个大规模的，联机式的信息储藏所。

在于用链接的方式能非常方便的从因特网上的一个站点访问另一个站点，从而主动地按需获取丰富的信息。

WWW使用统一资源定位符URL 来标识WWW上的各种文档

URL的一般格式：<协议>://<主机>:<端口号>/<路径>
计算机与网络设备要相互通讯，双方就必须基于相同的方法。比如：如何探测到通讯目标、由哪一些先发起通信、使用哪种语言进行通信、怎么结束通信等规则都需要事先确定。不同的硬件、操作系统之间的通讯，所有的这一切都需要一种规则。这种规则，就是协议(protocol)



什么是 HTTP – 超文本传输协议
在客户程序（如浏览器）与WWW服务器程序之间进行交互使用的协议目的是保证客户机与服务器之间的通信。

HTTP 的工作方式是客户机与服务器之间的请求-应答协议。

web 浏览器可能是客户端，而计算机上的网络应用程序也可能作为服务器端。

客户端-发送请求：Request

服务器-返回响应消息：Response

状态码的百位数有特殊含义，代表了响应的几种状态

常见的状态码有：200（成功）、301 和 302（重定向）、404（找不到资源）、500（服务器内部发生错误）等



响应头信息

响应消息的第 2 行及以后的内容为响应头信息，内容一直到出现空行（只含有换行符的行）为止

Content-Length

显示响应正文的字节数

Content-Type

指定为 MIME 类型。HTML 文档的情况下则为 text/html。下表列出了常见MIME 类型分号之后的 charset=UTF-8 表示 HTTP 响应的字符编码。字符编码必须被正确设置





get和post的区别：



HTTP缺点：

1、通信使用明文（不加密），内容可能会被窃听

2、不验证通信方的身份，因此有可能遭遇伪装

3、无法证明报文的完整性，所以有可能已遭到篡改
HTTPS  超文本传输安全协议  =HTTP  +  SSL (安全套接层) |  TLS （安全层传输协议）