HTTP協(xié)議特點與HTTPS的安全性

HTTP協(xié)議主要特點包括如下：

十載專業(yè)的建站公司歷程，堅持以創(chuàng)新為先導(dǎo)的網(wǎng)站服務(wù)，服務(wù)超過上1000+企業(yè)及個人，涉及網(wǎng)站設(shè)計、成都app開發(fā)、微信開發(fā)、平面設(shè)計、互聯(lián)網(wǎng)整合營銷等多個領(lǐng)域。在不同行業(yè)和領(lǐng)域給人們的工作和生活帶來美好變化。

HTTP怎么保持持久連接？

Keep-Alive實現(xiàn)：

通過請求的頭部字段：Connection，time，max來實現(xiàn)持久連接。

如：Connection：Keep-Alive，time ：20，max：10

time：表示第一次http請求發(fā)起之后20秒內(nèi)不斷開，并且之后相同host的請求都用同一個http連接通道進行通信；

max：表示最大可以連接的請求數(shù)量。

怎么判斷HTTP持和胡蔽久連接斷開？

HTTP持久連接斷開時服務(wù)端會通過響應(yīng)喚州報文的請求頭字段的Connect-Length 、chunked來告訴客戶端持久連接已經(jīng)斷開了。

Cookie/Session

由于HTTP的無狀態(tài)特點，缺少狀態(tài)意味著如果后續(xù)處理需要做唯前面的信息，則它必須重傳，這樣可能導(dǎo)致每次連接傳送的數(shù)據(jù)量增大。另一方面，在服務(wù)器不需要先前信息時它的應(yīng)答就較快。

為了解決這種重復(fù)上傳的問題，于是有了Cookie/Session的技術(shù)解決方案：

Cookie用于客戶端，可以保持登錄信息到用戶下次與服務(wù)器的會話，換句話說，下次訪問同一網(wǎng)站時，用戶會發(fā)現(xiàn)不必輸入用戶名和密碼就已經(jīng)登錄了（當然，不排除用戶手工刪除Cookie）。而還有一些Cookie在用戶退出會話的時候就被刪除了，這樣可以有效保護個人隱私。

與 Cookie 相對的一個解決方案是 Session，它是通過服務(wù)器來保持狀態(tài)的。

HTTP協(xié)議特點參考資料： 深入理解http協(xié)議的特點

HTTP是不安全的，因為服務(wù)端未檢查客戶端的有效性，這樣很可能被中間人攔截偽裝客戶端向服務(wù)端發(fā)送請求。

HTTPS在HTTP傳輸層之上加了一個安全層（SSL或TLS協(xié)議實現(xiàn)），可以做到以下3點：

1. 數(shù)據(jù)的保密性

2. 校驗雙方身份的真實性

3. 數(shù)據(jù)的完整性

HTTPS連接建立流程：

通過上面HTTPS連接建立流程分析，大致可以分為下面5個步驟：

上面說了加密，保證了數(shù)據(jù)不能被他人讀取，但通信的雙方怎樣校驗對方的身份呢？HTTPS使用了數(shù)字證書，數(shù)字證書就是身份認證機構(gòu)（Certificate Authority）蓋在數(shù)字身份證上的一個章或印（或者說加在數(shù)字身份證上的一個簽名），這一行為表示身份認證機構(gòu)已認定這個人。證書的合法性可以向CA驗證。

客戶端收到服務(wù)器的響應(yīng)后，先向CA驗證證書的合法性（根據(jù)證書的簽名、綁定的域名等信息），如果校驗不通過，瀏覽器會中止連接，向用戶提示證書不安全。

HTTPS了兩種加密方式： 對稱加密和非對稱加密 。

以下是非對稱加密的過程：

發(fā)送方通過公鑰對數(shù)據(jù)進行加密，將加密數(shù)據(jù)傳給接收方，接收方通過私鑰進行解密得到相應(yīng)的數(shù)據(jù)；這種加密和解密用的鑰匙不一樣的方式叫做非對稱加密。

非加密方式是安全的，因為私鑰在服務(wù)端本地的，并沒有在網(wǎng)絡(luò)上傳輸，即使客戶端的公鑰被篡改了，通過私鑰也解析不出來，但是這種方式的缺點是耗時比較長；

以下是對稱加密的流程：

發(fā)送方通過秘鑰（會話秘鑰）對數(shù)據(jù)進行加密，接收方也通過相同的秘鑰進行解密，這種發(fā)送方和接收方用同樣秘鑰加解密的方式叫做對稱加密。

秘鑰是通過非對稱加密連接的時候生成的，已經(jīng)保證了客戶端的安全性，所以在數(shù)據(jù)傳輸過程中可以認為數(shù)據(jù)是安全的。

參考資料： 關(guān)于HTTPS，你需要知道的全部

HTTP協(xié)議在安全性方面存在什么問題

HTTP屬于明文傳輸協(xié)議，數(shù)據(jù)都是明文傳輸?shù)摹跋喈斢诘卿浗缑嬗脩裘艽a提供給第三燃枯方”，如果用戶輸入用戶名及密碼會被竊取。當然HTTP協(xié)議除了數(shù)據(jù)安全隱患，還存在協(xié)明段纖議被劫持激仿，這樣會導(dǎo)致用戶打開站點直接跳轉(zhuǎn)到釣魚網(wǎng)站。http還會被黑客注入惡意代碼，導(dǎo)致網(wǎng)站直接彈出各種不良信息。

各大瀏覽器會對http站點標注“不安全網(wǎng)站”所以為什么要求全網(wǎng)升級HTTPS協(xié)議的重點。

如何增強http服務(wù)器的安全性

1、冗余（同時實現(xiàn)負載均衡）

2、在路由器后隱藏真實ip

3、關(guān)閉敏感端口

4、將網(wǎng)頁文件存放在其他服務(wù)器上，也就是說敬畝，主目逗卜錄指向其他機器

5、防火墻山稿穗

6、防病毒

網(wǎng)站名稱：http服務(wù)器的安全的簡單介紹
本文路徑：http://vcdvsql.cn/article32/ddpcgsc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站制作、手機網(wǎng)站建設(shè)、企業(yè)網(wǎng)站制作、微信公眾號、品牌網(wǎng)站設(shè)計、定制網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)