我们提到过HTTP是不安全的。
由于任何人都可以向服务器发送请求,而并不会验证身份,所以这就会引发一些问题:
1,发出响应的服务器是否为正确的服务器
2,发送请求的客户端是否为正确的客户端
3,通信双方是否有浏览信息的权限
4,传输的海量数据可能是无用的,这样就造成了拒绝服务攻击
这些问题让HTTP不堪一击,但是HTTPS解决了这些问题:
SSL提供证书,验证双方是否为正确的通信双方。
客户端会在和服务器通信前确认证书
HTTP也不知道报文是否被修改,这一点也值得注意,在报文传输中可能被拦截,修改,这就造成了中间人攻击(MITM)
所以提到的SSL和TLS对通信线路进行加密,这样就可以提高安全性,尽管HTTP提供了MD5和SHA-1对数据本身进行加密,但是数据本身也有被解密的风险。
HTTP中也有使用PGP生成数字签名校验和MD5生成的散列值校验。但这都需要用户自己进行验证,而浏览器不能自动验证。
//本系列教程基于《图解HTTP》,此书国内各大购物网站皆可购买
转载请注明出处 by:M_ZPHr
最后修改日期:2019-04-06