HTTP學習筆記七
阿新 • • 發佈:2022-05-27
確保Web安全的HTTPS
在HTTP協議中有可能存在資訊竊聽或身份偽裝等安全問題。使用HTTPS通訊機制可以有效地防止這些問題。
7.1 HTTP的缺點
- 通訊使用明文(不加密),內容可能會被竊聽
- 不驗證通訊方的身份,因此有可能遭遇偽裝
- 無法證明報文的完整性,所以有可能已遭篡改
通訊的加密
HTTP協議中沒有加密機制,但可以通過和SSL(Secure Socket Layer,安全套接層)或TLS(Transport Layer Security,安全層傳輸協議)的組合使用,加密HTTP的通訊內容。
與SSL組合使用的HTTp被稱為HTTPS(HTTP Secure,超文字傳輸安全協議)或 HTTP over SSL。
內容的加密
將參與通訊的內容本身加密的方式。客戶端需要對HTTP報文進行加密處理後再發送請求。
前提:要求客戶端和伺服器同時具備加密和解密機制。
HTTP+加密+認證+完整性保護=HTTPS
我們把添加了加密及認證機制的HTTP稱為HTTPS(HTTP Secure)。
HTTPS:是身披SSL外殼的HTTP。
如果是非敏感資訊則使用HTTP通訊,只有在包含個人資訊等敏感資料時,才利用HTTPS加密通訊。