確保Web安全的HTTPS

在HTTP協議中有可能存在資訊竊聽或身份偽裝等安全問題。使用HTTPS通訊機制可以有效地防止這些問題。

7.1 HTTP的缺點

• 通訊使用明文（不加密），內容可能會被竊聽
• 不驗證通訊方的身份，因此有可能遭遇偽裝
• 無法證明報文的完整性，所以有可能已遭篡改

通訊的加密

HTTP協議中沒有加密機制，但可以通過和SSL（Secure Socket Layer，安全套接層）或TLS（Transport Layer Security,安全層傳輸協議）的組合使用，加密HTTP的通訊內容。

與SSL組合使用的HTTp被稱為HTTPS（HTTP Secure,超文字傳輸安全協議）或 HTTP over SSL。

內容的加密

將參與通訊的內容本身加密的方式。客戶端需要對HTTP報文進行加密處理後再發送請求。

前提：要求客戶端和伺服器同時具備加密和解密機制。

HTTP+加密+認證+完整性保護=HTTPS

我們把添加了加密及認證機制的HTTP稱為HTTPS（HTTP Secure）。

HTTPS：是身披SSL外殼的HTTP。

如果是非敏感資訊則使用HTTP通訊，只有在包含個人資訊等敏感資料時，才利用HTTPS加密通訊。