Explicación detallada de seguridad web (base de pruebas de penetración)

1. Conocimientos básicos de la Web

1. protocolo http

El Protocolo de transferencia de hipertexto es el protocolo de red más utilizado en Internet. Un estándar que deben cumplir todos los archivos www es una especificación de capa de aplicación basada en el protocolo TCP/IP, que se transmite en código ASCII, simplemente es una regla de comunicación fija.

2. Tres arquitecturas de red y sus características

La arquitectura de aplicaciones de red incluye tres tipos:
estructura cliente/servidor (C/S)
estructura navegador/servidor (B/S)
estructura P2P

arquitectura C/S

1. Requiere la instalación de un programa cliente específico
2. Desarrollar diferentes versiones para diferentes plataformas.
3. La actualización de la aplicación requiere una reinstalación
4. Capacidad para utilizar directamente los recursos de hardware del cliente

Estructura B/S

1. No es necesario instalar el cliente, solo se requiere un navegador web
2. capacidad multiplataforma
3. Actualización perfecta, cliente sin mantenimiento

Arquitectura P2P
Sistema punto a punto, sin necesidad de transferencia de servidor, cliente y cliente se comunican directamente entre sí

3. Características de las aplicaciones web

1. La aplicación es gráfica y fácil de navegar, y muestra gráficos y texto coloridos en la página.
2. La aplicación no tiene nada que ver con la plataforma y se puede acceder a través de internet utilizando cualquier plataforma.
3. Las aplicaciones web se distribuyen y se puede colocar información diferente en diferentes sitios.
4. La aplicación web es dinámica, la información del sitio web incluye la información del sitio en sí, y el proveedor de información también puede actualizar la información del sitio web.

4. Composición de URL

Protocolo: especifica el protocolo de transporte utilizado
nombre de host: nombre de host
puerto: número de puerto
ruta: ruta
parámetros: parámetros

consulta: opcional, se usa para pasar parámetros a páginas web dinámicas, puede haber varios parámetros, separados por símbolos "&", y el nombre y el valor de cada parámetro están separados por símbolos "=".

fragmento: fragmento de información, cadena, utilizado para especificar el fragmento en el recurso de red.

6. La naturaleza del protocolo Http

1. HTTP es simple
2. HTTP es escalable
3. HTTP no tiene estado y tiene sesiones
4. HTTP es confiable

7. Formato del mensaje de respuesta a la solicitud

El mensaje de solicitud HTTP se divide en tres partes

1. Método de solicitud de línea de solicitud, URL, versión de protocolo, etc. (encabezados de mensajes)
2. El encabezado de la solicitud consta de un nombre de dominio de encabezado, dos puntos y un campo de valor
3. cuerpo de solicitud

respuesta

1. Código de estado y protocolo de línea de respuesta Código de estado Clasificación
2. encabezado de respuesta
3. cuerpo de respuesta

8. Método de solicitud

OBTENER POST OPCIONES CABEZA PONER ELIMINAR SEGUIMIENTO CONECTAR

9. caché http

缓存是一种保存资源副本并在下次请求时直接使用该副本的技术。当 web 缓存发现请求的资源已经被存储，它会拦截请求，返回该资源的拷贝，而不会去源服务器重新下载。这样带来的好处有：缓解服务器端压力，提升性能(获取资源的耗时更短了)。

   
   
    
    

   
   
    
    

     
     
1
    
    

10. Cómo juzgar la frescura del caché

El servidor web utiliza dos métodos para determinar si la memoria caché del navegador está actualizada
1, Última modificación y Si se modificó desde
2, ETags y Si no coincide

11. Principio de redirección Http y código de estado

在 HTTP 协议中，重定向操作由服务器通过发送特殊的响应（即 redirects）而触发。HTTP 协议的重定向响应的状态码为 3xx 。浏览器在接收到重定向响应的时候，会采用该响应提供的新的 URL ，并立即进行加载；大多数情况下，除了会有一小部分性能损失之外，重定向操作对于用户来说是不可见的。

   
   
    
    

   
   
    
    

     
     
1
    
    

1XX Instrucciones
2XX Solicitud enviada correctamente
3XX Redirección
4XX La solicitud enviada por el cliente tiene un error de sintaxis
5XX Error del servidor

12. Certificado digital de protocolo HTTPS

	HTTPS协议是以安全为目标的HTTP通道，其实就是HTTP的升级版本
数字证书：是由权威的CA（Certificate Authority）机构给服务端进行颁发，CA机构通过服务端提供的相关信息生成证书，证书内容包含了持有人的相关信息，服务器的公钥，签署者签名信息（数字签名）等，最重要的是公钥在数字证书中。

• 1
• 2
• 3

​

13. ¿Cuál es la diferencia entre el protocolo HTTPS y el protocolo HTTP?

1. HTTP es un protocolo de transferencia de hipertexto y la información se transmite en texto sin formato, mientras que HTTPS es un protocolo de transferencia cifrado SSL seguro.
2. HTTP usa el puerto 80 para conectarse, mientras que HTTPS usa el puerto 443.
3. El protocolo HTTPS debe ir a CA para solicitar un certificado. Generalmente, hay pocos certificados gratuitos y debe pagar una tarifa. Algunos contenedores web también los proporcionan, como TOMCAT. No se requiere el protocolo HTTP.

14. El papel del cliente web

1. Se utiliza para enviar solicitudes HTTP
2. Recibir respuesta del servidor
3. Renderice el código HTML devuelto por el servidor en una interfaz de cliente web, principalmente un navegador.

15. Función del servidor web

1. Escuche las solicitudes de los clientes
2. Manejar solicitudes simples de clientes (generalmente páginas estáticas)
3. Barrera entre el cliente y la base de datos
4. Manejar el acceso comercial y a la base de datos de sistemas complejos.

16. El papel del entorno del clúster

	集群环境：服务器集群是指将很多服务器集中起来去进行同一种服务。集群可以利用多个计算机并行计算从而获得很高的计算速度（负载均衡），也可以用多个计算机做备份，从而使得实现故障转移。

 
 
  
  

 
 
  
  

   
   
1
  
  

17. Qué es una cookie y qué hace una cookie.

Cookie: Cookie实际上是一小段的文本信息（key-value格式）。

El cliente inicia una solicitud al servidor y, si el servidor necesita registrar el estado del usuario, usa la respuesta para enviar una cookie al navegador del cliente. El navegador del cliente guardará la cookie. Cuando el navegador vuelve a solicitar el sitio web, envía la URL solicitada junto con la cookie al servidor. El servidor comprueba la cookie para identificar el estado del usuario.

• 1
• 2
• 3

18. Tipos de cookies

1. Cookie de sesión: almacenada en la memoria, mantenida por el navegador y desaparece después de que se cierra el navegador.
2. Cookie Persistente: Almacenada en el disco duro, con un tiempo de caducidad, el usuario la borra manualmente o cuando se alcance el tiempo de caducidad, se eliminará la cookie persistente.

Caduca el atributo: maxAge en Cookie se usa para representar este atributo, y la unidad es la segunda.

19. El papel y el principio de la sesión

在计算机中，尤其是在网络应用中，称为“会话控制”。Session对象存储特定用户会话所需的属性及配置信息。这样，当用户在应用程序的Web页之间跳转时，存储在Session对象中的变量将不会丢失，而是在整个用户会话中一直存在下去。

 
 
  
  

 
 
  
  

   
   
1
  
  

El principio de sesión

1. Cuando el usuario solicita el servidor por primera vez, el servidor generará un ID de sesión
2. El servidor devuelve el ID de sesión generado al cliente a través de set-cookie
3. El cliente recibe el ID de sesión y lo guarda en la cookie, y cuando el cliente visite el servidor nuevamente, traerá el ID de sesión.
4. Cuando el servidor reciba la solicitud del cliente nuevamente, primero verificará si existe el sessionId. Si no existe, cree un nuevo sessionId y repita el proceso de 1 y 2. Si existe, atravesará el archivo de sesión de el servidor y encuentre el sessionId correspondiente a él.file, el valor clave en el archivo es sessionId, y el valor es alguna información del usuario actual
5. Las solicitudes posteriores intercambiarán este ID de sesión por una sesión con estado

Dos implementaciones de Session (es decir, métodos de entrega)

1. Conseguido a través de cookies
2. Implementado a través de la reescritura de URL

La diferencia entre Sesión y Cookie

1. Los datos de las cookies se guardan en el navegador del cliente y la sesión se guarda en el servidor
2. El mecanismo de estado de almacenamiento del lado del servidor debe estar marcado en el lado del cliente, por lo que la sesión puede usar el mecanismo de cookies.
3. El cliente suele utilizar cookies para guardar el estado de inicio de sesión del usuario
4. La sesión puede acceder a cualquier tipo de datos, pero la cookie solo puede almacenar cadenas
5. El tamaño de los datos de almacenamiento de cookies es limitado, la sesión no está limitada

20. El principio del Token

1. Un usuario envía una solicitud con un nombre de usuario y una contraseña.
2. Verificación del programa.
3. El programa devuelve un token firmado al cliente.
4. El cliente almacena el token y lo usa cada vez que envía una solicitud.
5. El servidor verifica el token y devuelve los datos.

21. Método de codificación de datos

La codificación de URL es un formato utilizado por los navegadores para empaquetar la entrada del formulario.

Base64 es una forma de representar datos binarios arbitrarios con 64 caracteres ASCII.

MD5 es una función hash ampliamente utilizada en el campo de la seguridad informática para brindar protección a la integridad de los mensajes. Actualmente irreversible.

22. Tipos de pruebas web

1. Prueba de interfaz: prueba de navegación, prueba de gráficos, prueba de contenido, prueba de interfaz general, prueba de control de interfaz
2. prueba de funcionamiento:
3. Pruebas de rendimiento
4. prueba de compatibilidad
5. pruebas de seguridad, etc

23. Ventajas de H5

1. Ventajas multiplataforma, las páginas H5 son aplicables a todas las plataformas y se pueden depurar y modificar directamente en la página web, el costo de desarrollo y mantenimiento es bajo y el ciclo de desarrollo es corto.
2. Mejoró el rendimiento de las páginas web. Además de dibujar gráficos bidimensionales, también se preparan etiquetas para reproducir video y audio.
3. Se han agregado funciones de aplicaciones web como bases de datos locales.
4. Las estadísticas de datos de H5 marketing son convenientes

24. La diferencia entre pruebas de aplicaciones/pruebas web/pruebas H5

similitudes

针对同一个系统功能的测试，三端所测的业务流程是一样的

En circunstancias normales, tanto el terminal móvil como el terminal de PC corresponden a un conjunto de servicios en segundo plano, y también hay algunas funciones, como la pantalla de la PC y el terminal móvil es inconsistente, o hay algún procesamiento especial. caso, el fondo escribirá dos conjuntos de interfaces diferentes para manejar las necesidades comerciales correspondientes.

• 1
• 2
• 3

la diferencia

1. La plataforma de prueba (contenedor) es diferente
2. Las pruebas de compatibilidad son diferentes
3. La arquitectura del sistema es diferente.
4. El proceso de liberación es diferente.
5. APP también tiene algunas pruebas especiales

25. Tres modos de desarrollo comúnmente utilizados en terminales móviles

主要有原生APP（Native App）、混合APP（Hybrid App）、WEB APP三种.

 
 
  
  

 
 
  
  

   
   
1
  
  

2. Pruebas exploratorias

1. Pruebas de transferencia: mirando los datos

2. Pruebe uno y obtenga uno gratis: Realice dos operaciones iguales al mismo tiempo.

3. Método de prueba transversal: probar ventanas emergentes, probar todas las ventanas emergentes.

4. Métodos de prueba de destrucción: como red o memoria. (Los primeros cuatro son en su mayoría globales)

3. Método de prueba ágil

3.1 Comparación entre el modelo de cascada y el modelo ágil

Secuencial (modelo en cascada): simple, por etapas, causal entre etapas, no admite la participación del usuario, requiere requisitos predeterminados.
Ámbito de aplicación: sistemas de software cuyos requisitos son fáciles de definir y difíciles de cambiar.

Ágil (iterativo): no requiere que los requisitos se definan completamente por adelantado, admite la participación del usuario, admite la mejora gradual y la confirmación de los requisitos, y puede adaptarse a los cambios en los requisitos del usuario.
Ámbito de aplicación: sistemas de software con requisitos complejos, difíciles de determinar y cambios dinámicos.

3.2 El marco Scrum incluye 3 roles, 3 artefactos, 5 eventos y 5 valores

3 funciones: Propietario del producto Equipo de desarrollo de ScrumMaster

3 Artefactos
Product Backlog
SprintBacklog
Product Increment

5 eventos
Sprint (Sprint en sí mismo es un evento, incluidos los siguientes 4 eventos)
Reunión de planificación de Sprint Reunión
permanente diaria Reunión
de revisión de Sprint
Reunión de revisión de Sprint

5 valores
Compromiso: disposición para comprometerse con la meta
Enfoque: poner su mente y capacidad en el trabajo al que se comprometió
Abierto: Scrum abre todo en el proyecto para todos
Respeto: todos tienen su experiencia y antecedentes únicos
Coraje: tener la coraje para asumir compromisos, cumplirlos y recibir el respeto de los demás

3.3 Una historia de usuario consta de tres elementos

1. rol (quién): quién va a usar esto
2. Actividad (qué): qué actividad completar
3. Valor (valor): por qué quieres hacer esto, qué valor puedes aportar al hacer esto

3.4 Características de las historias de usuario

1. independiente
2. discutible
3. valioso
4. Estimable
5. pequeño
6. comprobable

3.5 Priorización de historias de usuarios

1.Debe 2.Debería 3.Podría 4.No

3.6 El papel de Kanban

1. Etapas claras y criterios de entrada.
2. El número de tareas en cada etapa, control WIP<=4.
3. Varios períodos de tiempo en el tiempo de entrega.
4. Valor a entregar Valor entregado.
5. Visualización de información y notificación de cambios.

3.7 que es devops

:Cambio cultural + Herramientas de automatización = Mercado cambiante. También un modelo de desarrollo: Agile + herramientas de automatización

3.8 Prueba de cambio a la izquierda y prueba de cambio a la derecha

cambio de prueba a la izquierda

1. revisar
2. alineación de tecnología
3. empoderamiento de autoevaluación
4. colaboración multi-rol

cambio de prueba a la derecha

1. escala de grises
2. monitor
3. atribución de problemas

4. Seguridad web

4.1 ¿Cuál es el objetivo principal de las pruebas de penetración?

通过实际的攻击进行安全测试与评估的方法就是渗透测试

 
 
  
  

 
 
  
  

   
   
1
  
  

4.2 El proceso de pruebas de penetración

1. meta clara
2. recoger mensaje
3. Detección de vulnerabilidades
4. Verificación de vulnerabilidad
5. escribir informe
6. Recopilación y análisis de información

4.3 Contenido de la recopilación de información

1. información de dominio
2. directorio sensible
3. escaneo de puertos
4. Estación lateral Sección C
5. Análisis de todo el sitio

4.4 Concepto y significado de la póliza del mismo origen

Concepto: el protocolo , el nombre de dominio (o IP) , el nombre del subdominio y el número de puerto en las direcciones de las dos páginas son consistentes, lo que indica el mismo origen

Significado: Restringe el "documento" o scripts de diferentes fuentes para leer o establecer ciertas propiedades en el "documento" actual

4.5 Zona de pruebas del navegador

Sandbox: sinónimo de "módulos de aislamiento de recursos"

El propósito de la caja de arena de diseño:

1. Deje que el código no confiable se ejecute en un entorno determinado y restrinja el acceso del código no confiable a los recursos fuera del área aislada

2. Si es necesario generar un intercambio de datos a través de los límites de la zona de pruebas, solo se puede hacer a través de canales de datos específicos, como API encapsuladas, en las que se verificará estrictamente la legalidad de las solicitudes.

4.6 Mecanismo de bloqueo de sitios web maliciosos

El navegador obtiene periódicamente una lista negra de las últimas URL maliciosas del servidor. Si las URL que el usuario visita en Internet existen en esta lista negra, el navegador mostrará una página de advertencia.

4.7 El principio del ataque XSS

Los atacantes pueden ingresar códigos JavaScript entre ellos para lograr algunos "efectos especiales".
En los ataques reales, los atacantes no solo abren un cuadro, sino que generalmente usan

forma de cargar scripts externos,

El código JavaScript malicioso del atacante se almacena en x.txt. Este código puede usarse
para robar las cookies de los usuarios o para monitorear comportamientos maliciosos como el registro de teclas.

4.8 Tres tipos de xss

Tipo reflexivo: adjunte código malicioso a la instancia del parámetro,

Tipo de almacenamiento: cuando el usuario envía un fragmento de código XSS, el servidor lo recibe y lo almacena. Cuando el atacante vuelve a visitar una página, el programa lee el código XSS y responde al navegador.

DOM: XSS formado modificando el nodo DOM de la página a través de JavaScript

4.9 Prevención de vulnerabilidades XSS

1. filtrar html
2. Si PHP da salida al código JS o desarrolla la API Json, el front-end debe filtrar en JS
3. Al configurar la cookie, agregue el parámetro HttpOnly

4.10 ¿Qué es la inyección sql?

La inyección SQL consiste en modificar y empalmar la URL original, el campo de formulario o los parámetros de entrada del paquete de datos de la página web en declaraciones SQL, pasarlos al servidor web y luego pasarlos al servidor de la base de datos para ejecutar los comandos de la base de datos.

4.11 ¿Tipos de inyección sql?

1. inyección de personajes
2. inyección digital
3. nota ciega
4. inyección conjunta

4.12 ¿Tipos de persianas?

1. Ciego booleano
2. tiempo ciego

4.13 ¿Qué es una vulnerabilidad de inclusión de archivos?

Para aumentar la flexibilidad del código, los desarrolladores suelen establecer el archivo incluido como una variable para llamadas dinámicas, pero es precisamente debido a esta flexibilidad que el cliente puede llamar a un archivo malicioso, lo que genera una vulnerabilidad de inclusión de archivos. Puede haber vulnerabilidades de inclusión de archivos en PHP, JSP, ASP y otros lenguajes, pero la mayoría están en PHP.

4.14 ¿Explotación de vulnerabilidades de inclusión de archivos para cumplir con las siguientes dos condiciones?

1. Incluir () y otras funciones introducen los archivos que deben incluirse a través de variables dinámicas;
2. El usuario puede controlar esta variable dinámica

4.15 El archivo contiene prevención de vulnerabilidades

1. Juzgue estrictamente si los parámetros en la inclusión son controlables externamente, porque el punto clave para el éxito de la explotación de vulnerabilidades de inclusión de archivos es si el archivo incluido puede ser controlado externamente;
2. Restricción de ruta: restrinja los archivos incluidos para que solo estén en una carpeta determinada y debe prohibir los caracteres de salto de directorio, como ".../";
3. Incluir verificación de archivos: verificar si el archivo incluido es miembro de la lista blanca;
4. Trate de no usar la inclusión dinámica, puede corregirlo en la página que debe incluirse, como: include("head.php");.

4.16 ¿Cuál es el contenido de la detección de carga de archivos?

1. Detección de cliente: el cliente utiliza la detección de JS para verificar el archivo cuando el archivo no se carga
2. Detección del lado del servidor: detecte si la extensión del archivo es legal, detecte si hay código malicioso incrustado en el archivo

4.17 ¿Métodos comunes para evitar vulnerabilidades en la carga de archivos?

1. El directorio donde se carga el archivo está configurado como no ejecutable
2. Determinar el tipo de archivo
3. Sobrescribir nombres de archivos y rutas de archivos con números aleatorios
4. Establecer por separado el nombre de dominio del servidor de archivos

4.18 ¿Qué es el clickjacking?

攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作，此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe的位置，可以诱使用户恰好点击在iframe页面的一些功能性按钮上。

 
 
  
  

 
 
  
  

   
   
1
  
  

​

4.19 ¿Principio CSRF?

Es el atacante quien utiliza algunos medios técnicos para engañar al navegador del usuario para que visite un sitio web que ha autenticado y realice algunas operaciones (como enviar correos electrónicos, enviar mensajes e incluso operaciones de propiedad como transferir dinero y comprar bienes). Dado que el navegador ha sido autenticado, el sitio web visitado se considerará como una operación y ejecución real del usuario. Esto aprovecha una laguna en la autenticación de usuarios en la web: la autenticación simple solo puede garantizar que la solicitud se envíe desde el navegador de un usuario, pero no puede garantizar que la solicitud en sí misma sea enviada voluntariamente por el usuario.

4.20 ¿Defensa CSRF?

1. Valide el campo de referencia HTTP
2. Ingrese el código de verificación para la segunda confirmación
3. Autenticación de token, usando Token para defenderse contra CSRF
4. Hashing de cookies

4.21 ¿Problemas de seguridad de HTML5?

1. Ataque CORS
2. Ataque de almacenamiento web
3. Ataque de trabajador web
4. Ataque de nueva pestaña

4.22 ¿Método de ataque de sesión?

1. ataque de fijación de sesión

Use el mecanismo de inmovilización de ID de sesión del sistema de aplicaciones en el servidor para obtener autenticación y autorización con el mismo ID de sesión de otros, y luego use el ID de sesión para secuestrar sesiones de otras personas para suplantar con éxito a otros, lo que resulta en ataques de fijación de sesión.

2. La sesión sigue atacando

La sesión tiene un ciclo de vida. El atacante tiene una sesión válida. Si la sesión no ha caducado, el ataque siempre usará la cuenta del usuario a través de esta sesión válida, convirtiéndose en una "puerta trasera" permanente.

4.23 Inicio de sesión único

Abreviado como SSO. En sistemas de aplicaciones múltiples, solo necesita iniciar sesión una vez para acceder a todos los demás sistemas de aplicaciones.

4.24 Control de acceso basado en roles y control de acceso basado en datos

Control de acceso basado en roles: el control de acceso en realidad establece la correspondencia entre los usuarios y los permisos,
ya que la gestión horizontal de permisos se debe a la falta de un control de acceso a nivel de datos en el sistema.

4.25 Principios de OAuth 2.0

OAuth introduce un enlace de autorización para resolver los problemas anteriores. Cuando una aplicación de terceros solicita acceder a un recurso protegido, el servidor de recursos emitirá un token de acceso (AccessToken) a la aplicación de terceros después de que el usuario del recurso lo autorice. El token de acceso contiene atributos clave, como el alcance de acceso autorizado del usuario del recurso y el período de validez de la autorización. La aplicación de terceros debe retener el token en el proceso de acceso a recursos posterior hasta que el usuario cancele activamente la autorización o el token caduque automáticamente.

4.26 Cuatro métodos de autorización

1. Código de Autorización
2. oculto
3. Cifrar
4. Si la credencial del cliente
   n no ha sido invalidada, el ataque utilizará siempre la cuenta del usuario a través de esta sesión válida, convirtiéndose en una "puerta trasera" permanente.

4.23 Inicio de sesión único

Abreviado como SSO. En sistemas de aplicaciones múltiples, solo necesita iniciar sesión una vez para acceder a todos los demás sistemas de aplicaciones.

4.24 Control de acceso basado en roles y control de acceso basado en datos

Control de acceso basado en roles: el control de acceso en realidad establece la correspondencia entre los usuarios y los permisos,
ya que la gestión horizontal de permisos se debe a la falta de un control de acceso a nivel de datos en el sistema.

4.25 Principios de OAuth 2.0

OAuth introduce un enlace de autorización para resolver los problemas anteriores. Cuando una aplicación de terceros solicita acceder a un recurso protegido, el servidor de recursos emitirá un token de acceso (AccessToken) a la aplicación de terceros después de que el usuario del recurso lo autorice. El token de acceso contiene atributos clave, como el alcance de acceso autorizado del usuario del recurso y el período de validez de la autorización. La aplicación de terceros debe retener el token en el proceso de acceso a recursos posterior hasta que el usuario cancele activamente la autorización o el token caduque automáticamente.

4.26 Cuatro métodos de autorización

1. Código de Autorización
2. oculto
3. Cifrar
4. credenciales de cliente

1. Conocimientos básicos de la Web

1. protocolo http

El Protocolo de transferencia de hipertexto es el protocolo de red más utilizado en Internet. Un estándar que deben cumplir todos los archivos www es una especificación de capa de aplicación basada en el protocolo TCP/IP, que se transmite en código ASCII, simplemente es una regla de comunicación fija.

2. Tres arquitecturas de red y sus características

La arquitectura de aplicaciones de red incluye tres tipos:
estructura cliente/servidor (C/S)
estructura navegador/servidor (B/S)
estructura P2P

arquitectura C/S

1. Requiere la instalación de un programa cliente específico
2. Desarrollar diferentes versiones para diferentes plataformas.
3. La actualización de la aplicación requiere una reinstalación
4. Capacidad para utilizar directamente los recursos de hardware del cliente

Estructura B/S

1. No es necesario instalar el cliente, solo se requiere un navegador web
2. capacidad multiplataforma
3. Actualización perfecta, cliente sin mantenimiento

Arquitectura P2P
Sistema punto a punto, sin necesidad de transferencia de servidor, cliente y cliente se comunican directamente entre sí

3. Características de las aplicaciones web

1. La aplicación es gráfica y fácil de navegar, y muestra gráficos y texto coloridos en la página.
2. La aplicación no tiene nada que ver con la plataforma y se puede acceder a través de internet utilizando cualquier plataforma.
3. Las aplicaciones web se distribuyen y se puede colocar información diferente en diferentes sitios.
4. La aplicación web es dinámica, la información del sitio web incluye la información del sitio en sí, y el proveedor de información también puede actualizar la información del sitio web.

4. Composición de URL

Protocolo: especifica el protocolo de transporte utilizado
nombre de host: nombre de host
puerto: número de puerto
ruta: ruta
parámetros: parámetros

consulta: opcional, se usa para pasar parámetros a páginas web dinámicas, puede haber varios parámetros, separados por símbolos "&", y el nombre y el valor de cada parámetro están separados por símbolos "=".

fragmento: fragmento de información, cadena, utilizado para especificar el fragmento en el recurso de red.

6. La naturaleza del protocolo Http

1. HTTP es simple
2. HTTP es escalable
3. HTTP no tiene estado y tiene sesiones
4. HTTP es confiable

7. Formato del mensaje de respuesta a la solicitud

El mensaje de solicitud HTTP se divide en tres partes

1. Método de solicitud de línea de solicitud, URL, versión de protocolo, etc. (encabezados de mensajes)
2. El encabezado de la solicitud consta de un nombre de dominio de encabezado, dos puntos y un campo de valor
3. cuerpo de solicitud

respuesta

1. Código de estado y protocolo de línea de respuesta Código de estado Clasificación
2. encabezado de respuesta
3. cuerpo de respuesta

8. Método de solicitud

OBTENER POST OPCIONES CABEZA PONER ELIMINAR SEGUIMIENTO CONECTAR

9. caché http

缓存是一种保存资源副本并在下次请求时直接使用该副本的技术。当 web 缓存发现请求的资源已经被存储，它会拦截请求，返回该资源的拷贝，而不会去源服务器重新下载。这样带来的好处有：缓解服务器端压力，提升性能(获取资源的耗时更短了)。

   
   
  
  

   
   
  
  

   
   
1
  
  

10. Cómo juzgar la frescura del caché

El servidor web utiliza dos métodos para determinar si la memoria caché del navegador está actualizada
1, Última modificación y Si se modificó desde
2, ETags y Si no coincide

11. Principio de redirección Http y código de estado

在 HTTP 协议中，重定向操作由服务器通过发送特殊的响应（即 redirects）而触发。HTTP 协议的重定向响应的状态码为 3xx 。浏览器在接收到重定向响应的时候，会采用该响应提供的新的 URL ，并立即进行加载；大多数情况下，除了会有一小部分性能损失之外，重定向操作对于用户来说是不可见的。

   
   
  
  

   
   
  
  

   
   
1
  
  

1XX Instrucciones
2XX Solicitud enviada correctamente
3XX Redirección
4XX La solicitud enviada por el cliente tiene un error de sintaxis
5XX Error del servidor

12. Certificado digital de protocolo HTTPS

	HTTPS协议是以安全为目标的HTTP通道，其实就是HTTP的升级版本
数字证书：是由权威的CA（Certificate Authority）机构给服务端进行颁发，CA机构通过服务端提供的相关信息生成证书，证书内容包含了持有人的相关信息，服务器的公钥，签署者签名信息（数字签名）等，最重要的是公钥在数字证书中。