Сети2 (Тесты redclass)

WWW основывается на использовании гипертекста(Бернерс-Ли, 1989г.)Http(RFC 2616, 1990г.) .Html – язык для описания документов и связывания их гиперссылками.В качестве языка форматирования в html используются декларации SGML и метод определениятипа документа DTD.ASN-основа языка SMI.DHTML-концепция с набором технологий, позволяющих браузеру динамически изменятьзагруженные html-документы в ответ на пользовательские действия без соединения с вебсервером. Основа концепции: html, css, скриптовый язык, интерпрет. Браузером, dom.DOM- объектная модель html-документа.Java-аплет- прикладная программа на языке java в формате байт-кода, вып-ся jvm, которая неявляется интерпретатором байт-кода.Flash-приложения – Action Script.Методы HTTP: get, head, put, post, delete, link, unlink, доп.

метод.Многократный get-одинаковый результат, post –разный.Запрос содержит: метод запроса, URI, версию протокола, сообщение в формате mime(упр. инф.,инф. о клиенте, тело сообщения).URI: URL, URN.URL-идентификатор URI, который помимо идентификации ресурса предоставляет еще иинформацию о ее местонахождении.URN-идентификатор URI, который идентифицирует ресурс в определенном пространстве имен.Шаблон идентификатора ресурса: <источник><путь><запрос><фрагмент>/Для реализации механизма управления сессиями используются два доп. Поля http-заголовка:setcookie и cookie.Интерфейс CJI- стандарт сопряжения веб-серверов и программ, основная задача – определить,как передать программе параметры http-запроса и как передать обратно сформированныйпрограммой http-ответ.Стандартный поток ввода процесса-обработчика ассоциируется с потоком вывода веб-сервера.Станд.

поток вывода – с потоком ввода.Параметры запроса передаются процессу-обработчику через аргументы командной строки ичерез переменные окружения.Необходимость подготовки и запуска нового процесса на каждый запрос – дорого.Консорциум W3C: html, xml, css, http, url, ftp, nntp, sgml.AJAX – асинхронное взаимодействие с веб-сервером.

Уменьшение числа обращений к серверу.Код на JS отправляет xml-запрос, исп-ет dom для обновления. Основа-html(dhtml).Две схемы аутентификации: Basic, Digest.Механизм аутентификации реализует веб-сервер.Basic:браузер делает запрос, сервер возвращает указание на необходимость аутентификации.Didest:дает пользователю возможность доказать серверу, что он знает правильный пароль безпередачи его по сети. MD5, счетчик запросов.SSL обеспечивает три основных механизма защиты: взаимную аутентификацию, обеспечениеконфиденциальности и целостности данных.Сертификат – документ в электронной форме, содержащий открытый ключ, принадлежащийдержателю, и доп.

Информацию о его владельце.Общий закрытый ключ, хеш-функция – в обмене сообщениями между сервером и клиентом.Ограничения длины ключей:1)Симметричное шифрование – 40 разрядов2)Несимметричное шифрование – 512 разрядовПрокси – программа, которая передает запросы клиентских программ в Интернет, получаетответы и передает их обратно.Функции http-прокси:1)Кэширование полученных ресурсов2)Ограничение доступа к ресурсам интернета3)Модификация запрашиваемых html – документов4)Ограничение скорости работы с интернетом5)Биллинг(Журналы, популярность)6)Маршрутизация запросов.WSDL-какие функции предоставляет веб-сервисUDDI-поиск существующих веб-сервисовВеб-сервис: является повторно используемым, определяется одним или несколькими явнымиинтерфейсами, независимыми от технологии, может быть вызван посредством протоколоввзаимодействия ресурсов между собой.SOAP-протокол доступа к простым объектамWSDL-язык описания веб-сервисовUDDI- протокол поиска ресурсов в интернете.UDDI: business entity, business service, binding template, technology model.На стороне клиентаHTML4, HTML5CSSDOMJavaScript, AJAXpath – путь (логический) к ресурсуquery – аргументы для динамического ресурсаfragment вообще не передается на сервер•URL-кодированиеразрешенные символы: [A-Za-z0-9] и ‘.’, ‘-’, ‘~’, ‘_’пробел кодируется +все остальные символы кодируются %xx, где xx – код символа в кодировке UTF-8HTTP-запросметод, URL ресурса, версия протоколазаголовки(опционально) тело запроса•HTTP-ответверсия, код и статус ответазаголовкитело ответа•1xx – информационныеo100 Continue•В запросе должно быть Expect: 100-continue•2xx – успехo200 Ok•3xx – перенаправлениеo301 Moved Permanentlyo302 Foundo303 See Othero304 Not Modifiedo307 Temporary Redirect4xx - ошибка со стороны клиентаo400 Bad Requesto401 Unauthorized•В ответе должен быть проставлен WWW-Authenticateo403 Forbiddeno404 Not Foundo405 Method Not Allowed•5xx – ошибка со стороны сервераo500 Internal Server Erroro501 Not Implementedo502 Bad Gatewayo503 Service UnavailableЗаголовки HTTP-ответов•ServerContent-Length (Content-Length: 78)•Content-Type•Location•Set-CookieHTTP 1.0 и 1.1: основные отличия•Поддержка TCP-соединений открытыми•Передача тела по частям (сhunked transfer encoding)•Кеширование (ETag)•Заголовок Host•Аутентификация HTTP digest•CookiesВеб-приложение взаимодействует с внешними подсистемами: СУБД, LDAP, интерпретатор ОС,почтовый демон, браузер, файловая система и т.п.Injection-атаки: внешний пользователь может выйти из контекста данных в контекст команд.Примеры Injection-атак•SQL-операторыданные не обрабатываются при построении SQL-запроса•HTML-разметкуданные не обрабатываются при построении HTML•Javascript-операторыданные не обрабатываются при построении JSON-объекта•CSS-директивыданные не обрабатываются при построении CSS-правил•HTTP-заголовкиданные не обрабатываются при построении ответного заголовка (например, Location)•XPath-операторыданные не обрабатываются при построении XPath-запросаСпособы реализации сеансов•По IP-адресу•HTTP-аутентификация•URL-overwriting•Скрытые поля форм + PostBack•CookiesSOP на пальцах: код из одного источника не может читать или изменять DOM-объекты другогоисточника•Источник = протокол + домен + портSame origin policy в JavaScript•Window boundary•Frame boundary•Embedded scripts•Images & CSS.