HTTP学习笔记七

确保Web安全的HTTPS

在HTTP协议中有可能存在信息窃听或身份伪装等安全问题。使用HTTPS通信机制可以有效地防止这些问题。

7.1 HTTP的缺点

• 通信使用明文（不加密），内容可能会被窃听
• 不验证通信方的身份，因此有可能遭遇伪装
• 无法证明报文的完整性，所以有可能已遭篡改

 

通信的加密

HTTP协议中没有加密机制，但可以通过和SSL（Secure Socket Layer，安全套接层）或TLS（Transport Layer Security,安全层传输协议）的组合使用，加密HTTP的通信内容。

与SSL组合使用的HTTp被称为HTTPS（HTTP Secure,超文本传输安全协议）或 HTTP over SSL。

内容的加密

将参与通信的内容本身加密的方式。客户端需要对HTTP报文进行加密处理后再发送请求。

前提：要求客户端和服务器同时具备加密和解密机制。

 

HTTP+加密+认证+完整性保护=HTTPS

我们把添加了加密及认证机制的HTTP称为HTTPS（HTTP Secure）。

HTTPS：是身披SSL外壳的HTTP。

如果是非敏感信息则使用HTTP通信，只有在包含个人信息等敏感数据时，才利用HTTPS加密通信。