AI 助理
文档备案控制台
开发者社区 安全 文章 正文

【前端 · 面试 】HTTP 总结(十一)—— HTTPS 概述

2022-05-10 312
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 最近我在做前端面试题总结系列,感兴趣的朋友可以添加关注,欢迎指正、交流。

最近我在做前端面试题总结系列,感兴趣的朋友可以添加关注,欢迎指正、交流。


争取每个知识点能够多总结一些,至少要做到在面试时,针对每个知识点都可以侃起来,不至于哑火。


8.png


前言

通过前面内容的学习,相信大家对 HTTP 的概念、特点、请求方法及缓存等的相关知识有了一定了解,恭喜大家在面试成功的道路上迈出了坚实的一步!


HTTP 从诞生之初到现在,已经好多年了,可以称得上是“历史悠久”了。中间经历过几次大的版本更新,依然坚挺如初。


但是不管再怎么坚挺,跟人们需求的发展速度相比,却稍显逊色,比如很常见的一个需求:我使用网上银行就行转账或者支付,怎么保证我的用户信息(包括密码)不会被泄漏?


由于 HTTP 协议传输的是明文信息,如果在支付过程中发出的 HTTP 请求被攻击者截取到,那么此请求所携带的用户信息对攻击者来说是可见的,可能会带来严重的安全隐患。


显然,要解决这个问题,并不是对 HTTP 协议进行简单的属性添加就可以实现的,在这种状况下,我们今天的主人公 —— HTTPS 就应运而生。


HTTPS

超文本传输安全协议,英语全称为 HyperText Transfer Protocol Secure,缩写叫做 HTTPS,有常被称为 HTTP over TLS、HTTP over SSL 或 HTTP Secure。


还记得吗?HTTP 叫做超文本传输协议,对比 HTTPS 的中文全称,我们就大概可以知道二者的区别了。


HTTPS 是一种通过计算机网络进行安全通信的传输协议。HTTPS 经由 HTTP 进行通信,但利用 SSL/TLS 来加密数据包。HTTPS 开发的主要目的,是提供对网站服务器的身份认证,保护交换资料的隐私与完整性。这个协议由网景公司(Netscape)在 1994 年首次提出,随后扩展到互联网上。


严格地讲,HTTPS 并不是一个单独的协议,而是对工作在一加密连接(TLS 传输层安全)或 SSL)上的常规 HTTP 协议的称呼。


历史上,HTTPS 连接经常用于万维网上的交易支付和企业信息系统中敏感信息的传输。在 2000 年代末至 2010 年代初,HTTPS 开始广泛使用,以确保各类型的网页真实,保护账户和保持用户通信,身份和网络浏览的私密性。所以,我们现在见到的大多数应用网站都实现了 HTTPS 协议。


作用


HTTPS 的主要作用是在不安全的网络上创建一个安全信道,并可在使用适当的加密包和服务器证书可被验证且可被信任时,对窃听和中间人攻击提供合理的防护,其具体作用如下:


  • 数据保密性:保证数据内容在传输的过程中不会被第三方查看。就像快递员传递包裹一样,都进行了封装,别人无法获知里面装了什么  。
  • 数据完整性:及时发现被第三方篡改的传输内容。就像快递员虽然不知道包裹里装了什么东西,但他有可能中途掉包,数据完整性就是指如果被掉包,我们能轻松发现并拒收 。
  • 身份校验安全性:保证数据到达用户期望的目的地。就像我们邮寄包裹时,虽然是一个封装好的未掉包的包裹,但必须确定这个包裹不会送错地方,通过身份校验来确保送对了地方  。


总结起来一句话:HTTPS 提供对网站服务器的身份认证,保护交换数据的隐私与完整性


工作流程


HTTPS 默认工作在 TCP 协议 443 端口,它的工作流程一般如以下图所示:


7.png


  1. TCP 三次同步握手。
  2. 客户端验证服务器数字证书。
  3. DH 算法协商对称加密算法的密钥、hash 算法的密钥。
  4. SSL 安全加密隧道协商完成。
  5. 网页以加密的方式传输,用协商的对称加密算法和密钥加密,保证数据机密性;用协商的hash算法进行数据完整性保护,保证数据不被篡改。


优点


尽管 HTTPS 并非绝对安全,掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击,但 HTTPS 仍是现行架构下最安全的解决方案,主要有以下几个好处:


  • 使用 HTTPS 协议可认证用户和服务器,确保数据发送到正确的客户机和服务器。
  • HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,要比 HTTP 协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。
  • HTTPS 是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。
  • 谷歌曾在 2014 年 8 月份调整搜索引擎算法,并称“比起同等 HTTP 网站,采用 HTTPS 加密的网站在搜索结果中的排名将会更高”。


缺点


虽然说 HTTPS 有很大的优势,但其相对来说,还是存在不足之处的:


  • HTTPS 协议握手阶段比较费时,会使页面的加载时间延长近 50%,增加 10% 到2 0% 的耗电。
  • HTTPS 连接缓存不如 HTTP 高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响。
  • SSL 证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。
  • SSL 证书通常需要绑定 IP,不能在同一 IP 上绑定多个域名,IPv4 资源不可能支撑这个消耗。
  • HTTPS 协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的,SSL 证书的信用链体系并不安全,特别是在某些国家可以控制 CA 根证书的情况下,中间人攻击一样可行。


总结

以上就是对 HTTPS 的一些概述内容,希望对你有所帮助!


~本文完,感谢阅读!


学习有趣的知识,结识有趣的朋友,塑造有趣的灵魂!


你来,怀揣期望,我有墨香相迎! 你归,无论得失,唯以余韵相赠!


知识与技能并重,内力和外功兼修,理论和实践两手都要抓、两手都要硬!




文章标签:
密钥管理服务
前端开发
搜索推荐
网络安全
数据安全/隐私保护
网络协议
安全
算法
缓存
关键词:
HTTP https
HTTPS HTTP
面试https
面试http
前端http
编程三昧
目录
相关文章
土木林森
|
前端开发 JavaScript 安全
前端性能调优:HTTP/2与HTTPS在Web加速中的应用
【10月更文挑战第27天】本文介绍了HTTP/2和HTTPS在前端性能调优中的应用。通过多路复用、服务器推送和头部压缩等特性,HTTP/2显著提升了Web性能。同时,HTTPS确保了数据传输的安全性。文章提供了示例代码,展示了如何使用Node.js创建一个HTTP/2服务器。
土木林森
457 3
云域A
|
JSON 安全 网络协议
HTTP/HTTPS协议(请求响应模型、状态码)
本文简要介绍了HTTP与HTTPS协议的基础知识。HTTP是一种无状态的超文本传输协议,基于TCP/IP,常用80端口,通过请求-响应模型实现客户端与服务器间的通信;HTTPS为HTTP的安全版本,基于SSL/TLS加密技术,使用443端口,确保数据传输的安全性。文中还详细描述了HTTP请求方法(如GET、POST)、请求与响应头字段、状态码分类及意义,并对比了两者在请求-响应模型中的安全性差异。
云域A
1067 20
站大爷
|
12月前
|
安全 网络协议 算法
HTTP/HTTPS与SOCKS5协议在隧道代理中的兼容性设计解析
本文系统探讨了构建企业级双协议隧道代理系统的挑战与实现。首先对比HTTP/HTTPS和SOCKS5协议特性,分析其在工作模型、连接管理和加密方式上的差异。接着提出兼容性架构设计,包括双协议接入层与统一隧道内核,通过协议识别模块和分层设计实现高效转换。关键技术部分深入解析协议转换引擎、连接管理策略及加密传输方案,并从性能优化、安全增强到典型应用场景全面展开。最后指出未来发展趋势将更高效、安全与智能。
站大爷
558 1
timerring
|
网络协议 安全 网络安全
HTTP与HTTPS协议入门
HTTP协议是互联网的基石,HTTPS则是其安全版本。HTTP基于TCP/IP协议,属于应用层协议,不涉及数据包传输细节,主要规定客户端与服务器的通信格式,默认端口为80。
timerring
759 25
HTTP与HTTPS协议入门
卓伊凡
|
安全 网络安全 数据安全/隐私保护
HTTP 与 HTTPS 协议及 SSL 证书解析-http和https到底有什么区别?-优雅草卓伊凡
HTTP 与 HTTPS 协议及 SSL 证书解析-http和https到底有什么区别?-优雅草卓伊凡
卓伊凡
718 3
站大爷
|
安全 搜索推荐 网络安全
HTTPS与HTTP:区别及安全性对比
HTTP和HTTPS是现代网络通信中的两种重要协议。HTTP为明文传输,简单但不安全;HTTPS基于HTTP并通过SSL/TLS加密,确保数据安全性和完整性,防止劫持和篡改。HTTPS还提供身份验证,保护用户隐私并防止中间人攻击。尽管HTTPS有额外的性能开销和配置成本,但在涉及敏感信息的场景中,如在线支付和用户登录,其安全性优势至关重要。搜索引擎也更青睐HTTPS网站,有助于提升SEO排名。综上,HTTPS已成为大多数网站的必然选择,以保障用户数据安全和合规性。
站大爷
2743 1
刘大猫.
|
前端开发 JavaScript 数据库
https页面加载http资源的解决方法
https页面加载http资源的解决方法
刘大猫.
734 5
蓝易云
|
Web App开发 Linux 应用服务中间件
【DrissionPage】Linux上如何将https改为http
通过上述步骤,可以在Linux上将DrissionPage从HTTPS改为HTTP。关键在于修改DrissionPage配置、代码中的HTTPS设置、URL以及Web服务器配置,确保所有部分都正确使用HTTP协议。通过合理配置和测试,能够确保系统在HTTP环境下稳定运行。
蓝易云
656 1
刘大猫.
|
前端开发 JavaScript 数据库
https页面加载http资源的解决方法
https页面加载http资源的解决方法
刘大猫.
484 4

热门文章

最新文章

  • 1
    【WEB】当HTTPS资源引入HTTP导致报错blocked:mixed-content (混合加载/Mixed Content)如何解决
  • 2
    Docker Pulling fs layer net/http: TLS handshake timeout
  • 3
    在 CentOS 6.8 x86_64 上安装 nghttp2 最新版及让 curl 具有 http2 特性
  • 4
    sudo apt-get update出现W: GPG 错误:http://packages.ros.org/ros/ubuntu xenial InRelease: 由于没有公钥,无法验证下列签名:
  • 5
    使用阿里云语音通知http批量推送模式获取用户回执短信内容
  • 6
    WCF技术剖析之二十七: 如何将一个服务发布成WSDL[基于HTTP-GET的实现](提供模拟程序)
  • 7
    空的springboot项目导入nacos 配置中心和注册中心依赖后报错,提示 org.apache.http.impl.client.HttpClientBuilder 这个类找不到 问题的解决
  • 8
    C#网络编程入门之HTTP
  • 9
    【保姆级教程】 全网最强HTTP+Fiddler抓包实战超级全面图文教程 《Fiddler安装与配置证书》
  • 10
    MockMvc使用案例模拟前端http请求
  • 1
    蓝易云 - Nginx的HTTPS部署与安全性能优化教程
    261
  • 2
    HTTP 协议 与HTTPS
    420
  • 3
    HTTPS 加密工作过程
    546
  • 4
    https,http2,http3的区别
    2239
  • 5
    node搭建本地https和wss服务
    297
  • 6
    http和https的区别是什么?
    1275
  • 7
    【域名解析DNS专栏】DNS-over-TLS与DNS-over-HTTPS:安全升级新标准
    2236
  • 8
    【Linux 网络】网络基础(二)(应用层协议:HTTP、HTTPS)-- 详解
    1109
  • 9
    https的证书错误,错误码-1012问题及解决方案
    466
  • 10
    https原理--RSA密钥协商算法
    693

    • 相关课程

    更多
  • Ajax 前端开发入门与实战
  • Java Web开发-Web应用、Tomcat、HTTP请求与响应
  • 云安全基础课- HTTP协议基础
  • 零基础学前端HTML+CSS
  • 前端开发CSS基础
  • 前端开发框架Bootstrap使用教程

    • 相关电子书

    更多
  • Vue.js 在前端服务化上的探索与实践
  • 基于webpack和npm的前端组件化实践
  • CDN助力企业网站进入HTTPS时代

    • 相关实验场景

    更多
  • 通过轻量消息队列(原MNS)主题HTTP订阅+ARMS实现自定义数据多渠道告警
    • 下一篇
    阿里云网盘 Skill 上线:让 OpenClaw 的成果,手机一点就能发给客户