讲到HTTPS就不得不说http,了解更多请参考文章《理解HTTP协议》

HTTP即超文本传输协议(Hypertext Transfer Protocol)是一个客户端/服务器的模型,构建在TCP/IP之上。Hypertext超文本就是HTML,网络上数据有文字、图片、视频、音频等,把这些不同类型的数据按照主观需求有序串联起来,就要用到HTML,这些数据在网络上跑来跑去就要用到http。

简单理解就是,html负责组织内容,http负责传递这些内容。但是,http也有自己的不足,就是不安全。

http协议不安全的根本原因有三:

一、数据没有加密:

HTTP本身传递的是明文,不会加密这些信息,只要攻击者能够获取这些明文,用户的隐私就完全暴露了。HTTP是基于TCP/IP的,TCP/IP的特点也决定了HTTP数据很容易被截获,网络传输过程中,路由策略决定HTTP数据会通过很多节点设备,节点很轻松就能截获明文数据,由于数据没有加密,很容易理解其含义。

二、无法验证身份

在HTTP应用中,客户端和服务器并不能确认对方的身份,在HTTP标准中,没有校验对端身份的标准。对于服务器来说,它接收的HTTP请求格式只要正确,就发送响应信息。对于客户端来说同样如此,它连接的是www.kantianshu.cn机,但由于有中间节点的存在,最终连接的可能是www.yocansoft.com主机,但对于客户端来说,它无法校验服务器的身份。

三、数据易篡改

HTTP数据在传输过程中,会经过很多节点,这些节点都可以修改原始数据,而对于客户端和服务器来说,没有任何技术来确保接收的数据就是发送者发送的原始数据。

http让数据传输变得非常容易,负责了WEB服务器传输数据到客户端传输数据。http的不安全属性是可以解决的,就是使用https。

https介绍

HTTPS(全称:httpover ssl,Hyper Text Transfer Protocol over Secure Socket Layer),HTTPS简单来说就是http+ssl,基于安全套接字层的超文本传输协议。它是以安全为目标的HTTP通道,简单讲就是HTTP的安全版。即在HTTP下加入了SSL子层,HTTPS的安全基础是SSL。

SSL会使用各种对称加密算法、非对称加密算法来加密传送数据。

http变更为https,已是大势所趋。WEB应用中,没有SSL证书,就会被浏览器认定为不安全的网站。有些浏览器会禁止直接访问网站,会跳出来一条红色警告,先恶心你一下,比如谷歌浏览器。有些平台应用会直接拒绝使用http,微信小程序开发,ios系统上的app开发等等。


yongqian
4 声望0 粉丝

永前科技,勇往直前。我们专注于WEB应用开发、前端开发,希望能跟诸位朋友进行技术交流,共同学习、分享WEB应用领域的知识和经验,一起提高开发能力。同时希望有互联网项目开发需求的朋友来深入探讨,资源互换。