在http協議中有可能存在資訊竊取或身份偽裝等安全問題。使用https通訊機制可以有效地防止這些問題。
http協議存在的哪些問題:
通訊使用明文(不加密),內容可能被竊聽
由於http本身不具備加密的功能,所以也無法做到對通訊整體(使用http協議通訊的請求和響應的內容)進行加密。即,http報文使用明文(指未經過加密的報文)方式傳送。
http明文協議的缺陷是導致資料洩露、資料篡改、流量劫持、釣魚攻擊等安全問題的重要原因。http協議無法加密資料,所有通訊資料都在網路中明文「裸奔」。通過網路的嗅探裝置及一些技術手段,就可還原http報文內容。
無法證明報文的完整性,所以可能遭篡改
所謂完整性是指資訊的準確度。若無法證明其完整性,通常也就意味著無法判斷資訊是否準確。由於http協議無法證明通訊的報文完整性,因此,在請求或響應送出之後直到對方接收之前的這段時間內,即使請求或響應的內容遭到篡改,也沒有辦法獲悉。換句話說,沒有任何辦法確認,發出的請求/響應和接收到的請求/響應是前後相同的。
不驗證通訊方的身份,因此有可能遭遇偽裝
http協議中的請求和響應不會對通訊方進行確認。在http協議通訊時,由於不存在確認通訊方的處理步驟,任何人都可以發起請求。另外,伺服器只要接收到請求,不管對方是誰都會返回乙個響應(但也僅限於傳送端的ip位址和埠號沒有被web伺服器設定限制訪問的前提下)
http協議無法驗證通訊方身份,任何人都可以偽造虛假伺服器欺騙使用者,實現「釣魚欺詐」,使用者無法察覺。
反觀https協議,它比http協議相比多了以下優勢(下文會詳細介紹):
資料私隱性:內容經過對稱加密,每個連線生成乙個唯一的加密金鑰
資料完整性:內容傳輸經過完整性校驗
身份認證:第三方無法偽造服務端(客戶端)身份
小猿圈web前端開發之HTTP與HTTPS的區別
上網對於大家已經不是新鮮事了,現在5g系統的來臨,對於網際網路也是發展的契機,但是不知道上網時候的一些協議嗎?對於程式設計師來說有些是熟悉的,但是對於普通人來說也需要了解一下的,下面小猿圈web前端講師針對http與https的區別給大家介紹一下。http是明文傳輸協議,https協議是由ssl h...
小猿圈web前端之HTML5主流框架都有哪些?
學習前端的小夥伴越來越多,問題也就越多,前面基礎部分還好一些,特別是一到框架的時候,難住了一大部分人,今天小猿圈web前端講師就為大家總結了html5主流框架的內容。一 bootstrap 全球數以百萬計的 都是基於bootstrap構建的。bootstrap能讓所有開發者都能快速上手 所有裝置都可...
寫jsx 前端開發,為什麼我支援模板而不是JSX。
雖然我使用react的比例明顯高於vue和angular 因為社群比另外兩者繁榮太多 但是我依然支援模板,而不是jsx作為前端開發view層的選擇。原因如下 1.jsx看似提供了更高的自由度,實際上很多時候應該避免使用這種自由度。因為我的實際經驗,絕大多數需要jsx自由度的情況往往出現在不合格的設計...