构造HTTP请求与HTTPS加密

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 我们可以通过代码来自己构造HTTP请求,在实际开发中经常用到的构造请求的方法是基于HTML/JS的,下边我们一起来看这两种构造方法。

1.构造HTTP请求


我们可以通过代码来自己构造HTTP请求,在实际开发中经常用到的构造请求的方法是基于HTML/JS的,下边我们一起来看这两种构造方法。


1.1 基于form表单


基于form表单来构造HTTP请求的方式,使用到的核心HTML标签,就是form标签。

基本格式:


<form action="URL" method="http方法类型"></form>

微信图片_20230111163338.png

光有一个form标签,没有办法提交,还需要搭配form里面有一些其他的标签,比例input。


微信图片_20230111163334.png

呈现效果:


微信图片_20230111163329.png

再我们点击提交后,页面就会跳转到URL指定的网页页面,并且我们可以发现,我们在form表单中提交的数据出现在了页面的URL中。


我们将method方法改为post方法,再次提交,发现页面无法正常跳转


微信图片_20230111163319.png

利用Fiddler进行抓包,可以发现在请求报文的body中,有我们form表单提交的内容:


微信图片_20230111163316.png

是因为我们自己提供的参数,百度的服务器并不会处理这样的参数,所以才导致页面跳转失败。


1.2 基于ajax


像1.1中介绍的基于form表单构造的HTTP请求,是一个较为原始的构造方式。


使用form一定会涉及到“页面跳转”,也就是说浏览器需要加载处一个全新的页面,如果在前端页面非常复杂的时候,我们不需要让整个页面全部加载,而是只变动某个小部分,这个情况,就可以使用ajax了。


1.2.1 异步


在了解ajax的构造流程之前,我们先来认识一下异步的概念。


这个概念是在等待过程中有的,等待分为同步等待和异步等待,同步等待中还分为阻塞等待和非阻塞等待,下边举一个例子来具体了解一下这些概念的意思:


我去麦当劳点了一份快餐:

1.同步阻塞等待

我就待在前台等着我的快餐,直到快餐做好,我再拿走。

2.同步非阻塞等待

我在前台看一眼,我的快餐没有做好,我就去外边溜达一圈,过一会再过来前台看看做好没,如果还没做好,我再去玩会手机;经过若干次之后,发现我的快餐做好了,我再拿走。

3.异步等待

我直接不管了,找了个角落坐下休息,该干啥干啥,等到快餐做好了之后,服务员直接给我端过来。


同步和异步之间的主要区别,就是看结果是调动者主动关注的,还是被调动者来给调动者通知的。


阻塞和非阻塞之间的主要区别,就是在等待的过程中,能不能干别的事情。


1.2.2 构造流程


使用原生的ajax较为麻烦,所以我们使用jQuery中的ajax来进行构造,下边是我们通过引入jQuery的方式来实现ajax构造请求的流程:


1.引入jQuery


在搜索引擎中搜索jQuery cdn,也可点击链接跳转jQuery Download


微信图片_20230111163309.png

然后点击版本跳转至jQuery本体


微信图片_20230111163304.png

将本体内容全部复制,保存到本地的js文件中


微信图片_20230111163300.png

2.使用jQuery的ajax函数


微信图片_20230111163256.png

ajax函数中不止这些参数,更多属性可以参考【文档】。


将上述步骤完成后,运行以下文件,就可以发送一个ajax请求。


<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    <script src="jQuery.min.js"></script>
    <script>
        $.ajax({
            type:'get',
            url:'http://www.baidu.com',
            success:function(body) {
                // success对应一个回调函数
                // 这个函数会在正确获取到HTTP响应后被调用(也就是异步的概念)
                console.log("获取到响应数据!"+body);
                // 回调函数的参数,就是HTTP响应的body部分
            },
            error:function() {
                // error也对应一个回调函数
                // 这个函数会在请求失败后触发(异步)
                console.log("获取响应失败!");
            }
        })
    </script>
</body>
</html>


运行该html文件后在页面打开开发者模式,并用Fiddler进行抓包。


微信图片_20230111163245.png

微信图片_20230111163237.png


我们在抓到的报文中可以看到200 OK的状态码,但为什么并不能加载出页面、控制台还报错呢?


这是因为浏览器禁止ajax进行跨域访问


跨域访问:跨越多个域名/服务器进行访问

当前页面的服务器是本地文件,而页面中ajax请求的URL是www.baidu.com,就导致了跨域访问。

如果我们有了自己的服务器,让页面和ajax的地址都是这一个服务器,就可以解决上边的问题了。


2.HTTPS


2.1 什么是HTTPS?


由于HTTP是明文传输,所以在传递过程中有被篡改的风险,为了解决这个风险,HTTPS在HTTP的基础上加⼊了 SSL/TLS 安全协议,使得报⽂能够加密传输,更好的保护数据安全。


2.2 加密


2.2.1 对称加密


对称加密其实就是通过一个“密钥”,把明文加密成密文,并且也能把密文解密成明文。


微信图片_20230111163233.png

如上图所示,客户端用密钥将明文加密成密文,向服务器发送密文请求,服务器接收到密文请求后再利用密钥将密文进行解密,拿到明文。


此时客户端和服务器持有同一个密钥,但若在一个服务器对应很多个客户端时,必须对应有不同的密钥才行,如果所有客户端都用同一个密钥,黑客就很容易获取到这个密钥了。


为了解决上述的问题,就需要客户端或者服务器任意一方主动生成密钥,并传输给对方,如下图所示。


微信图片_20230111163229.png

同样的,密钥进行明文传输,也会被黑客劫持到,有数据安全风险,所以我们需要针对密钥再进行加密,就用到了下边介绍的非对称加密。


2.2.2 非对称加密


非对称加密有两个密钥,公钥和私钥

公钥,就是人人都可以获取到

私钥,就是只有自己知道


我们就可以通过使用公钥来加密,私钥来解密;或者使用私钥来加密,公钥来解密。(公钥和私钥之间的相互推导计算量很大,实际上不容易实现)


通过对称加密和非对称加密相结合的方法,有以下的加密方式:

客户端生成一个对称密钥,客户端可以使用服务器的公钥,来对对称密钥进行加密,然后把数据传给服务器。服务器再通过私钥进行解密,得到对称密钥,再利用对称密钥解密得到明文。


在服务器获取到对称密钥以后,客户端和服务器之间的通信都只用对称密钥即可。

由于该密钥只有客户端和服务器两个主机知道,其他主机/设备不知道密钥,即使截获数据也没有意义。


由于对称加密的效率比非对称加密高很多,因此只是在开始阶段协商密钥时,使用非对称加密,后续的传输仍然使用对称加密


微信图片_20230111163225.png

那么接下来问题又接踵而至:


客户端如何获取到公钥?

客户端如何确定这个公钥是不是黑客伪造的?


2.2.3 引入证书(中间人问题)


在客户端和服务器刚一建立连接的时候,服务器给客户端返回一个证书。


这个证书包含了刚才的公钥,也包含了网站的身份信息。


这个证书就好比人的身份证,作为这个网站的身份标识。搭建一个HTTPS网站要先在第三方机构申请一个证书(类似于去公安局办个身份证)


微信图片_20230111163221.png

通过在公信机构上已经登记的证书,客户端可以进行验证此时收到的公钥是不是合理的,如果合理再建立连接,进行下一步的数据传送。


3.Fiddler抓包原理


既然HTTPS数据报已经经过加密了,那为什么Fiddler还能抓到并解析HTTPS里的数据报呢?


Fiddler抓包的原理就和2.2.3中的情况相同,用Fiddler作为中间设备,在收到服务器的证书后,就会保存这个证书,同时把自己的证书返回给浏览器。


所以数据报在浏览器和Fiddler之间,对称密钥是通过Fiddler的公钥进行加密的,Fiddler在接收到客户端传来的数据后,可以用自己的私钥解密,对数据报进行解析,然后再用保存的服务器的公钥再进行加密,再传送给服务器。(具体流程如下图)

微信图片_20230111163214.png

相关文章
|
8天前
|
前端开发 JavaScript 安全
前端性能调优:HTTP/2与HTTPS在Web加速中的应用
【10月更文挑战第27天】本文介绍了HTTP/2和HTTPS在前端性能调优中的应用。通过多路复用、服务器推送和头部压缩等特性,HTTP/2显著提升了Web性能。同时,HTTPS确保了数据传输的安全性。文章提供了示例代码,展示了如何使用Node.js创建一个HTTP/2服务器。
19 2
|
2天前
|
前端开发 JavaScript Java
如何捕获和处理HTTP GET请求的异常
如何捕获和处理HTTP GET请求的异常
|
4天前
|
开发者
HTTP 协议请求方法的发展历程
【10月更文挑战第21天】
|
4天前
|
安全
HTTP 协议的请求方法
【10月更文挑战第21天】
|
6天前
|
域名解析 算法 安全
免费申请https加密全攻略
访问JoySSL官网注册账号,申请免费SSL证书。选择证书类型,填写域名信息,生成CSR文件,验证域名所有权。下载并部署证书至服务器,测试HTTPS连接。注意定期续期,确保兼容性和安全性。如有问题,可联系JoySSL客服。
|
4天前
|
缓存 安全 前端开发
HTTP 协议的请求方法在实际应用中有哪些注意事项?
【10月更文挑战第29天】HTTP协议的请求方法在实际应用中需要根据具体的业务场景和需求,合理选择和使用,并注意各种方法的特点和限制,以确保网络通信的安全、高效和数据的一致性。
|
8天前
|
前端开发 安全 应用服务中间件
前端性能调优:HTTP/2与HTTPS在Web加速中的应用
【10月更文挑战第26天】随着互联网的快速发展,前端性能调优成为开发者的重要任务。本文探讨了HTTP/2与HTTPS在前端性能优化中的应用,介绍了二进制分帧、多路复用和服务器推送等特性,并通过Nginx配置示例展示了如何启用HTTP/2和HTTPS,以提升Web应用的性能和安全性。
15 3
|
8天前
|
安全 API 数据安全/隐私保护
常见的HTTP请求方法
【10月更文挑战第25天】这些HTTP请求方法共同构成了客户端与服务器之间交互的基础,使得客户端能够根据不同的需求对服务器资源进行各种操作。在实际应用中,开发者需要根据具体的业务场景和资源的性质选择合适的请求方法来实现客户端与服务器之间的有效通信。
|
Java Apache
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html><head><meta http-equiv="Cont
hbase从集群中有8台regionserver服务器,已稳定运行了5个多月,8月15号,发现集群中4个datanode进程死了,经查原因是内存 outofMemory了(因为这几台机器上部署了spark,给spark开的...
810 0

热门文章

最新文章