Web基础

万维网（Web）的四大核心构成

万维网的四大核心构成包括超文本传输协议（HTTP）、超文本标记语言（HTML）、统一资源定位符（URL）和超链接（Hyperlink）。这些技术共同支撑了现代互联网的基础架构。

超文本传输协议（HTTP）

HTTP是客户端和服务器之间通信的基础协议，用于传输超文本数据。它定义了请求和响应的格式，支持GET、POST等方法来获取或提交资源。HTTP是无状态的，但通过Cookie等技术可以实现会话管理。

超文本标记语言（HTML）

HTML是用于创建和设计网页的标准标记语言。它通过标签定义网页的结构和内容，如标题、段落、图像和链接。HTML5引入了更多语义化标签和多媒体支持，增强了网页的表现力和交互性。

统一资源定位符（URL）

URL是用于标识互联网上资源位置的字符串。它由协议、域名、路径和查询参数等部分组成。例如，https://example.com/path?query=value。URL确保用户和程序能够准确访问特定的网络资源。

超链接（Hyperlink）

超链接是连接不同网页或资源的桥梁，通常以可点击的文本或图像形式呈现。它通过HTML的<a>标签实现，指向另一个URL。超链接是万维网“网状”结构的核心，实现了信息的互联互通。

这些技术共同构成了万维网的基础，使得信息的发布、检索和共享成为可能。

Web服务器的基本概念

Web服务器是一种软件或硬件系统，负责处理客户端（如浏览器）的HTTP请求，并返回响应（如HTML页面、图像或数据）。常见的Web服务器软件包括Apache、Nginx、IIS等。

主流Web服务器软件

Apache

• 开源且跨平台，支持模块化扩展。
• 适合动态内容处理，如与PHP结合使用。
• 配置灵活，但高并发场景下性能可能受限。

Nginx

• 高性能，擅长处理静态内容和反向代理。
• 事件驱动架构，支持高并发连接。
• 常用于负载均衡和缓存加速。

Microsoft IIS

• 专为Windows设计，深度集成.NET框架。
• 图形化界面管理，适合企业级应用。

Web服务器的工作原理

Web访问流程概述

Web访问流程描述了从用户在浏览器输入URL到页面加载完成的完整过程，涉及DNS解析、TCP连接、HTTP请求与响应、页面渲染等关键步骤。

DNS解析

用户在浏览器输入URL后，系统首先通过DNS（域名系统）将域名转换为对应的IP地址。DNS查询遵循递归或迭代方式，依次检查浏览器缓存、操作系统缓存、路由器缓存、ISP DNS服务器，直至根域名服务器。

建立TCP连接

获取目标服务器IP后，客户端通过TCP三次握手与服务器建立连接。步骤如下：

若启用HTTPS，还需进行TLS握手协商加密协议。

发送HTTP请求

TCP连接建立后，浏览器构造HTTP请求报文，包含请求方法（如GET/POST）、请求头（如User-Agent、Accept）、请求体（如POST数据）。示例GET请求：

GET /index.html HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0

服务器处理请求

服务器接收请求后，根据路径和参数处理请求，可能涉及后端程序（如PHP、Node.js）或静态文件直接返回。响应包括状态码（如200 OK）、响应头（如Content-Type）和响应体（如HTML内容）。

浏览器渲染

浏览器解析响应内容，逐步加载HTML、CSS、JavaScript及图片等资源：

• 构建DOM树：解析HTML生成文档对象模型。
• 构建CSSOM：解析CSS生成样式规则树。
• 执行JavaScript：可能阻塞渲染，需优化加载顺序。
• 生成渲染树：合并DOM与CSSOM，计算布局。
• 绘制页面：根据渲染树进行像素级绘制。

连接终止

页面加载完成后，TCP连接通过四次挥手释放：

性能优化方向

• 减少DNS查询：使用DNS预解析或减少域名数量。
• 复用连接：启用HTTP/2或Keep-Alive避免重复握手。
• 压缩资源：Gzip压缩文本文件，优化图片格式。
• 延迟加载：异步加载非关键资源（如JavaScript）。

Web服务器漏洞类型及防护措施

常见漏洞类型

• 注入漏洞：SQL注入、OS命令注入等攻击方式，通过未过滤的用户输入执行恶意代码。
• 跨站脚本（XSS）：攻击者注入客户端脚本，窃取用户会话或篡改网页内容。
• 配置错误：默认配置、未关闭的调试接口或暴露的敏感文件（如.git目录）。
• 拒绝服务（DoS/DDoS）：通过大量请求耗尽服务器资源导致服务瘫痪。
• 过时组件：未更新的Web服务器软件（如Apache/Nginx旧版本）或存在已知漏洞的依赖库。

检测与修复方法

• 使用自动化工具（如Nessus、OpenVAS）扫描漏洞，定期进行渗透测试。
• 对用户输入实施严格过滤和验证，采用参数化查询防止SQL注入。
• 配置Web应用防火墙（WAF）拦截恶意流量，如ModSecurity。
• 及时安装安全补丁，移除不必要的服务和默认账户。

安全加固实践

• 最小化权限原则：限制服务器进程和数据库账户的权限。
• 启用HTTPS并配置HSTS，使用强加密算法（如TLS 1.3）。
• 日志监控：记录访问日志和错误日志，设置异常行为告警。

代码示例（防护SQL注入）

# 使用参数化查询（Python示例）
import sqlite3
conn = sqlite3.connect('example.db')
cursor = conn.cursor()
user_input = "admin' OR 1=1–"
cursor.execute("SELECT * FROM users WHERE username=?", (user_input,)) # 安全

数学公式（DoS攻击模型）
攻击流量阈值计算：
$$
T_{attack} = \\frac{C_{server}}{R_{request}}
$$
其中，(C_{server})为服务器承载能力，(R_{request})为单请求资源消耗。