浏览器、服务端、网络相关总结

http 和 https 的区别

· https = http + ssl；
· https 有ca证书，http 一般没有；
· http 是超文本传输协议，信息是明文传输；
· https 是具有安全性的ssl加密传输协议；
· http 默认80端口，https 默认443端口。

网络分层（OSI） 七层模型

· 应用层：允许访问OSI环境的手段；
· 表示层：对数据进行翻译，加密和压缩；
· 会话层：建立、管理和终止会话；
· 传输层：提供端到端的可靠报文传递和错误恢复；
· 网络层：负责数据包从源到宿的传递和网际互联；
· 数据链路层: 定义了如何让格式化数据以帧为单位进行传输；
· 物理层： 通过媒介传输比特，确定机械及电气规范。

cookies、sessionstorage、localStorage的区别：

· 共同点：都是保存在浏览器端，并且是同源的。
· cookie: 可以在浏览器和服务器间来回传递，存储量小，只有4k左右。
    @1：保存用户登录状态；
    @2：跟踪用户行为。
· localStorage: 长期存储数据，浏览器关闭后数据不会丢失。
· sessionStorage: 数据在浏览器关闭后自动删除。
· localStorage 和 sessionStorage 的优势：存储空间更大、更多丰富易用的接口、各自独立的存储空间。

在浏览器地址栏输⼊网址后按下回车键会发生什么：

@1：DNS域名解析系统，把域名解析ip地址；
@2：把ip发送到网络供应商，进行TCP的三次握手，建立连接；
@3：开始发送请求，取回入口文件index.html;
@4: 开始解析入口文件，并且取回需要的资源sources；
@5：进入地址前端模块。

URL和URI的区别？

  URI 是统一资源标识符，相当于一个人的身份证号码。
  web上可用的每种资源如HTML、文档、图像、视频片段、程序等都是由一个URI来定位的。
  URI一般由三部分组成：
  @1：访问资源的命名机制；
  @2：存放资源的主机名；
  @3：资源自身的名称，由路径表示，着重强调于资源。

  URL 是统一资源定位符，相当于一个人的家庭住址。
  URL是 Internet上用来描述信息资源的字符串，主要用在各种客户程序和服务器程序上，特别是著名的 Mosaic。
  采用URL可以用一种统一的格式来描述各种信息资源，包括文件、服务器的地址和目录等。
  URL一般由三部分组成：
  @1：协议（或称为服务方式）；
  @2：存有该资源的主机IP地址（有时也包括端口号）；
  @3：主机资源的具体地址，如目录和文件名等。

DDOS攻击？

· 利用目标系统网络服务功能缺陷或者直接消耗其系统资源，
  使得该目标系统无法提供正常的服务。
· DDOS攻击通过大量合法的请求占用大量网络资源，
  以达到瘫痪网络的目的。

具体有几种形式：
· 通过使用网络过载来干扰甚至阻断正常的网络通讯；
· 通过向服务器提交大量请求，使服务器超负荷；
· 通过阻断某一用户访问服务器；
· 通过阻断某服务与特定系统或个人的通讯。

http协议中数据请求方法：

  @1 http 协议中，数据请求方法：
  · get: 从服务器获取数据。
  · post: 向服务器传输数据。
  · put: 上传指定的URL。
  · delete: 删除指定资源。
  · options: 返回服务器支持的http方法。
  · head: 与get类似，但只能获取http报头。
  · connect: 将请求连接转换到透明的tcp/ip通道。
  @2 http 优化策略：
  · Spriting(雪碧图)。
  · 内联。
  · 拼接。
  · 分片。
  · Limit HTTP Headers。
  @3 TCP 三次握手：
  · SYN表示建立连接，ACK表示响应；
  · 建立连接前，客户端和服务端需要通过握手来确认对方；
  · 客户端发送syn(同步序列编号)请求，进入syn_send状态，等待确认；
  · 服务端接收并确认syn包后，发送syn+ack包，进入syn_recv状态；
  · 客户端接收syn+ack包后，发送ack包，双方进入established状态。
  @4 TCP 四次挥手：
  · SYN表示建立连接，FIN表示关闭连接，ACK表示响应；
  · 客户端-FIN-->服务端，FIN-WAIT；
  · 服务端-ACK-->客户端，CLOSE-WAIT；
  · 服务端-ACK，FIN-->客户端，LAST-ACK；
  · 客户端-ACK。

DNS解析:

DNS解析：
@1：浏览器缓存；
@2：操作系统缓存；
@3：本地域名服务器；
@4：根域名服务器请求解析；
@5：顶级域名服务器。 

CSRF攻击？

CSRF（Cross-site request forgery），中文名称：跨站请求伪造。
CSRF 可以简单理解为： 
攻击者盗用了你的身份，
以你的名义发送恶意请求，
容易造成个人隐私泄露以及财产安全。

防范方法：
    · post请求；
    · 使用token；
    · 验证码。

什么是XXS攻击？

Cross-site script，跨站脚本攻击。
当其他用户浏览该网站时，该段html代码会自动执行，从而达到攻击的目的，
如盗取用户的Cookie，破坏页面结构，重定向到其他网站等。

XSS类型：
@1：持久性XSS:
    对客户端攻击的脚本植入到服务器上，
    从而导致每个正常访问到的用户都会遭到这段XSS脚本的攻击。

@2：非持久性XSS：
    对一个页面的URL中的某个参数做文章，
    把精心构造好的恶意脚本包装在URL参数中，再将这个URL发布到网上，
    骗取用户访问，从而进行攻击。