869 字
2 分钟
Web 协议与安全系列导读
2024 年底,某互联网公司在一次安全审计中发现,其线上服务存在多个协议层面的漏洞:HTTP/1.1 连接复用导致的请求走私、CORS 配置不当引发的跨域数据泄露、以及 TLS 降级攻击风险。这些问题促使团队重新审视整个 Web 协议栈,从最基础的 HTTP/0.9 开始,逐步梳理到现代的 HTTP/3 与 WebAuthn。本系列正是这次系统性学习的产物。
一、系列概览
本系列从 Web 协议的基础演进出发,逐步深入到安全机制与前沿技术,覆盖以下核心主题:
- HTTP 协议演进:从 HTTP/0.9 到 HTTP/3,理解每个版本解决的核心问题
- 传输层安全:TLS 与 HTTPS 的工作原理及常见攻击
- 身份认证与授权:OAuth2、OIDC、WebAuthn 等现代认证方案
- 实时通信:WebSocket 与 WebRTC 的设计取舍
- 跨域与安全:CORS 策略与浏览器安全模型
- 前沿技术:WebAssembly、Service Workers 等运行时能力扩展
二、阅读建议
1. 按顺序阅读
如果你对 Web 协议体系缺乏整体认知,建议按系列顺序阅读。HTTP 协议的演进具有强烈的因果关系,理解前一个版本的问题才能体会后一个版本的设计动机。
2. 按主题跳读
如果你已有一定基础,可以按主题跳读。每个主题内部保持相对独立,但会引用其他主题的结论。
3. 实践驱动
每个主题都包含可复现的实验步骤,建议边读边做。协议的很多细节只有在实际抓包分析中才能真正理解。
三、文章列表
1. HTTP 协议演进
| 文章 | 核心问题 |
|---|---|
| HTTP/0.9 | 最简协议的设计哲学 |
| HTTP/1.0 | 从实验到工程:可扩展性的引入 |
| HTTP/1.1 | 性能优化的里程碑 |
| HTTP/2 | 多路复用与二进制分帧 |
| HTTP/3 | 从 TCP 到 QUIC 的范式转换 |
2. 传输层安全
| 文章 | 核心问题 |
|---|---|
| TLS 与 HTTPS | 加密通信的信任链构建 |
3. 身份认证与授权
| 文章 | 核心问题 |
|---|---|
| OAuth2 与 OIDC | 授权码、令牌与身份联邦 |
| WebAuthn 与 FIDO2 | 无密码认证的未来 |
4. 实时通信与跨域安全
| 文章 | 核心问题 |
|---|---|
| WebSocket | 全双工通信的协议设计 |
| WebRTC | 点对点实时通信的 NAT 穿透 |
| CORS 与浏览器安全 | 跨域策略的安全边界 |
| Web 访问控制 | 细粒度权限管理 |
5. 前沿技术
| 文章 | 核心问题 |
|---|---|
| WebAssembly 与 Service Workers | 浏览器运行时能力扩展 |
| gRPC 协议 | 高性能 RPC 框架的协议设计 |
| GraphQL 与 REST | API 设计范式的对比与选择 |
| DNS 协议详解 | 域名解析的分层架构与缓存策略 |
四、前置知识
阅读本系列需要以下基础:
- 了解 TCP/IP 网络模型的基本概念
- 熟悉 HTTP 请求/响应的基本交互流程
- 具备基本的密码学常识(对称加密、非对称加密、哈希)
- 有使用浏览器开发者工具的经验
如果你对以上任何一项不熟悉,系列文章中会提供必要的背景知识补充,但不会从零开始讲解。
支持与分享
如果这篇文章对你有帮助,欢迎支持作者或分享给更多人
Web 协议与安全系列导读
https://blog.souloss.com/posts/web/web-series-guide/ 部分信息可能已经过时
相关文章 智能推荐
1
系列导读
互联网运作 本系列从物理介质到应用层、从数据包离开网卡到抵达对端,用真实的包级追踪讲述互联网如何运作——物理编码、以太网交换、ARP首跳、IP寻址、NAT中间盒、域内域间路由、BGP安全、运营商骨干网、IXP互联、TCP/UDP/QUIC传输、DNS/TLS安全、HTTP演进、CDN分发、数据中心SDN、无线异构接入,每章配有Wireshark抓包与GNS3/FRR实验,让你从「会上网」进阶到「理解互联网」。
2
HTTP/0.9:单行协议
Web 技术深入 通过动手实验深入理解 HTTP/0.9 协议——从 Tim Berners-Lee 的设计初衷到 GET 请求的最简格式,实现一个 Python TCP 服务器,用 nc/telnet 发起原始 HTTP/0.9 请求
3
为什么 HTTP 是无状态协议
技术科普 深入解析 HTTP 无状态设计的工程考量,理解会话管理机制的演进历程。
4
为什么 WebSocket 需要握手
技术科普 深入解析 WebSocket 握手协议的设计原理,理解从 HTTP 到 WebSocket 的协议升级机制。
5
HTTP协议演进:从1.0到3.0的性能革命
互联网运作 从HTTP/0.9的单行请求到HTTP/3的QUIC传输,HTTP协议三十年演进的核心驱动力是什么?HTTP/1.1的持久连接与管道化、HTTP/2的二进制帧多路复用与HPACK、HTTP/3对TCP队头阻塞的彻底终结——每一代协议都在解决上一代的性能瓶颈。