練習(xí) 52：moreweb

原文：Exercise 52: moreweb

譯者：飛龍

協(xié)議：CC BY-NC-SA 4.0

自豪地采用谷歌翻譯

現(xiàn)在，你已經(jīng)使用 Python http.server庫(kù)創(chuàng)建了一個(gè) Web 服務(wù)器八毯。你已經(jīng)進(jìn)行到最后一個(gè)項(xiàng)目了捉兴。你將使用你至今為止所學(xué)到的所有東西尚粘，從無(wú)到有創(chuàng)建你自己的 Web 服務(wù)器庙睡。在練習(xí) 51 中蹈矮，你創(chuàng)建了大部分操作长已，它在http.server模塊“上面”畜眨。你沒(méi)有進(jìn)行任何網(wǎng)絡(luò)連接處理或 HTTP 協(xié)議解析昼牛。在最后的練習(xí)中，你將為你的lessweb服務(wù)器復(fù)制http.server（所做的一切）康聂，并實(shí)現(xiàn)所有必要的零件贰健。

挑戰(zhàn)練習(xí)

為了完成此練習(xí)，你將需要閱讀 Python 3 asyncio模塊的文檔早抠。這個(gè)庫(kù)為你提供了工具霎烙，用于處理套接字請(qǐng)求，創(chuàng)建服務(wù)器蕊连，等待信號(hào)悬垃，以及大部分所需的其它東西。如果你想要一個(gè)額外的挑戰(zhàn)甘苍，那么你可以使用 Python 3 select模塊尝蠕，它提供了更低的級(jí)別的 API 來(lái)處理套接字。你應(yīng)該使用此文檔载庭，來(lái)創(chuàng)建一系列小型套接字服務(wù)器和客戶端看彼。

一旦你了解如何創(chuàng)建通過(guò) TCP/IP 套接字通話的服務(wù)器和客戶端，則需要轉(zhuǎn)而處理 HTTP 請(qǐng)求囚聚。該項(xiàng)目的這一部分將十分艱巨靖榕，因?yàn)?HTTP 標(biāo)準(zhǔn)喪心病狂，并且比其需要更復(fù)雜顽铸。我將從你可以設(shè)計(jì)的茁计，最簡(jiǎn)單的 HTTP 解析庫(kù)開(kāi)始，然后用越來(lái)越多的樣本進(jìn)行擴(kuò)展谓松。第一個(gè)起始位置是 RFC 7230星压，但準(zhǔn)備好體驗(yàn)一些人類(lèi)搞出來(lái)的，最糟糕的寫(xiě)作鬼譬。

研究 RFC 7230 的最佳方式是娜膘，首先提取“ABNF 匯總”附錄中列出的所有語(yǔ)法。一眼看去优质，這似乎是瘋狂的竣贪，因?yàn)檫@只是一個(gè)巨大的語(yǔ)法規(guī)范。你實(shí)際上在這本書(shū)的第五部分中盆赤，學(xué)到了如何閱讀它贾富，但是規(guī)模較小。你知道正則表達(dá)式牺六，掃描器和解析器的工作原理颤枪，以及如何閱讀這樣的語(yǔ)法。所有你需要做的是研究這種語(yǔ)法淑际，并一次實(shí)現(xiàn)一點(diǎn)畏纲。在實(shí)現(xiàn)它的時(shí)候扇住，我將完全忽略任何“塊”語(yǔ)法。

一旦你研究了這個(gè)語(yǔ)法盗胀，你應(yīng)該開(kāi)始為 HTTP 編寫(xiě)解析器艘蹋，使用你已經(jīng)創(chuàng)建的東西。使用你的數(shù)據(jù)結(jié)構(gòu)票灰，解析工具以及任何東西女阀，來(lái)為 HTTP 的小型子集創(chuàng)建解析器。覆蓋盡可能多的這種語(yǔ)法屑迂。為了幫助你浸策，有一組測(cè)試文件，其中具有有效的 HTTP 請(qǐng)求惹盼，請(qǐng)?jiān)L問(wèn) https://learncodethehardway.org/more-python-book/http_tests.zip庸汗。你可以下載這組測(cè)試用例，并通過(guò)你的解析器運(yùn)行它們手报，來(lái)確保它有用蚯舱。我從杰出的 And-HTTP 服務(wù)器中提取了許多這些測(cè)試用例，然后用更基本的例子來(lái)擴(kuò)展它們掩蛤。你的目標(biāo)是使它們盡可能多地通過(guò)枉昏。

最后，一旦你有了一種方式揍鸟，來(lái)編寫(xiě)一個(gè)良好的asyncio或者select套接字服務(wù)器凶掰，和一種解析 HTTP 的方式，你可以把它們放在一起蜈亩，制作你的第一個(gè)帶有功能的 Web 服務(wù)器。

破壞它

你一定要試圖破壞這個(gè) Web 服務(wù)器前翎，但你也應(yīng)該在這里嘗試不同的東西稚配。你已經(jīng)編寫(xiě)了一個(gè) HTTP 解析器，嘗試使用 RDP 風(fēng)格的解析器港华，以最合理的方式處理有效的 HTTP道川。你的解析器有很好的機(jī)會(huì)，來(lái)阻止許多不好的 HTTP 請(qǐng)求立宜，所以找到一些以前的攻擊冒萄，并在你的 Web 服務(wù)器上嘗試它們。有幾個(gè)網(wǎng)站上有自動(dòng)化黑客工具橙数，所以獲取一個(gè)并將其對(duì)準(zhǔn)你的服務(wù)器尊流。但是要小心，并確保你只運(yùn)行著名的測(cè)試工具灯帮，并且只在你自己的服務(wù)器上崖技。

深入學(xué)習(xí)

如果你想完全了解 Web 服務(wù)器和技術(shù)逻住，請(qǐng)使用你的moreweb服務(wù)器來(lái)創(chuàng)建 Web 框架。我建議先創(chuàng)建一個(gè)網(wǎng)站迎献，然后從 Web 框架中提取出所需的模式瞎访。這種框架的目標(biāo)是，封裝你使用的模式吁恍，以便你可以簡(jiǎn)化后續(xù)的 Web 應(yīng)用程序扒秸。與lessweb和moreweb的練習(xí)一樣，你的目標(biāo)也應(yīng)該是研究冀瓦，實(shí)現(xiàn)和利用 Web 框架的常見(jiàn)攻擊伴奥。

如果你想深入 TCP/IP，我推薦 Jon C. Snader 的《Effective TCP/IP Programming》一書(shū)咕幻。這本書(shū)是用 C 語(yǔ)言寫(xiě)的渔伯，但它實(shí)際上是“笨辦法學(xué) TCP/IP》，涵蓋 44 個(gè)主題肄程，為你準(zhǔn)備了簡(jiǎn)單的代碼來(lái)了解基本的 TCP/IP 的工作原理锣吼。C 語(yǔ)言是 TCP/IP 的出生地，其他語(yǔ)言處理套接字連接的方式似乎很奇怪蓝厌，直到你知道 C 語(yǔ)言是如何實(shí)現(xiàn)它的玄叠。通過(guò)研究它，你將會(huì)深入了解套接字服務(wù)器的工作原理拓提。唯一的警告是這本書(shū)有點(diǎn)過(guò)時(shí)读恃，所以代碼應(yīng)該工作，但它可能不是最新的代碼代态。