网站的盈利方式,哔哩哔哩网页入口,wordpress 件康,wordpress php 采集目录
HTTP通信协议
请求报文
响应报文
持久连接
状态管理
HTTPS通信协议
安全的HTTPS
HTTP到HTTPS的演变
对称加密
非对称加密
混合加密机制
证书机构
SSL到底是什么
HTTPS是身披SSL外壳的HTTP HTTP通信协议
一次HTTP请求的通信流程#xff1a;客户端浏览器通过…目录
HTTP通信协议
请求报文
响应报文
持久连接
状态管理
HTTPS通信协议
安全的HTTPS
HTTP到HTTPS的演变
对称加密
非对称加密
混合加密机制
证书机构
SSL到底是什么
HTTPS是身披SSL外壳的HTTP HTTP通信协议
一次HTTP请求的通信流程客户端浏览器通过域名访问网页资源由DNS解析得到目标服务器的ip在HTTP、TCP/IP协议的协助下发送请求到达服务器服务器返回对应的XML、HTML以及JSON格式的数据。 这段请求的内容是请求访问某台HTTP服务器上的/index.html页面资源。
请求报文
请求报文是由请求方法、请求URI、协议版本、可选的请求首部字段和内容实体构成的。 其中的POST是告知服务器意图的HTTP方法在http协议的使用频率越来越高的趋势下大家约定了REST风格的架构规则。常见的8种HTTP方法
方法意图请求响应GET获取资源GET /index.html HTTP/1.1 Host: www.hackr.jp返回 index.html 的页面资源POST传输实体主体POST /submit.cgi HTTP/1.1 Host: www.hackr.jp Content-Length: 15601560字节的数据返回 submit.cgi 接收数据的处理结果PUT传输文件PUT /example.html HTTP/1.1 Host: www.hackr.jp Content-Type: text/html Content-Length: 15601560 字节的数据响应返回状态码 204 No Content比如 该 html 已存在于服务器上HEAD获得报文首部HEAD /index.html HTTP/1.1 Host: www.hackr.jp返回index.html有关的响应首部DELETE删除文件DELETE /example.html HTTP/1.1 Host: www.hackr.jp响应返回状态码 204 No Content比如 该 html 已从该服务器上删除OPTIONS询问支持的方法OPTIONS * HTTP/1.1 Host: www.hackr.jpHTTP/1.1 200 OK Allow: GET, POST, HEAD, OPTIONS 返回服务器支持的方法TRACE追踪路径TRACE / HTTP/1.1 Host: hackr.jp Max-Forwards: 2HTTP/1.1 200 OK Content-Type: message/http 响应 Content-Length: 1024 TRACE / HTTP/1.1 Host: hackr.jp Max-Forwards: 2返回响应包含请求内容CONNECT要求用隧道协议连接代理CONNECT proxy.hackr.jp:8080 HTTP/1.1 Host: proxy.hackr.jpHTTP/1.1 200 OK之后进入网络隧道
在服务器上的资源类型有很多比如图片类型、视频类型、 Js、Css、文本等。浏览器如何识别当前类型做不同的渲染呢
MIME Type是描述消息内容类型的因特网标准常见的几种类型 文本文件text/html,text/plain,text/css,application/xhtmlxml,application/xml 图片文件image/jpeg,image/gif,image/png. 视频文件video/mpeg,video/quicktime
我们可以通过两种方式来设置文件的渲染类型第一种是 Accept第二种是 Content-Type Accept: 表示客户端希望接受的数据类型即告诉服务器我需要什么媒体类型的数据此时服务器应该根据 Accept 请求头生产指定媒体类型的数据 Content-Type: 表 示 发 送 端 发 送 的 实 体 数 据 类 型 比 如 我 们 应 该 写 过 类 似 的 resposne.setContentType(“application/json;charsetutf-8”)的代码表示服务端返回的数据 格式是 json。 如果 Accept 和 Content-Type 不一致假如说 Accept 要接收的类型是 image/gif但是服务 端返回的数据是 text/html那么浏览器将会无法解析。
响应报文
响应报文基本上由协议版本、状态码(表示请求成功或者失败的数字代码)、用以解释状态码的原因短语、可选的响应首部字段以及实体主题构成。 如果用户访问的地址有问题或者服务端在解析用户请求以 及处理请求逻辑时出现问题怎么办呢HTTP状态码会给出具体的响应结果。
类别原因短语1XXInformational信息性状态码接收的请求正在处理2XXSuccess成功状态码请求正常处理完毕3XXRedirection重定向状态码需要进行附加操作以完成请求4XXClientError客户端错误状态码服务器无法处理请求5XXServerError服务器错误状态码服务器处理请求出错
常见的HTTP状态码 200 OK表示请求成功服务器已经成功处理了客户端的请求。 201 Created表示请求已经被成功处理服务器创建了新的资源。 202 Accepted表示请求已被接受但尚未被执行。 204 No Content表示请求已成功处理但响应没有包含实体的主体部分。通常用于没有响应主体的DELETE请求。 206 Partial Content表示服务器已经成功处理了部分GET请求通常用于分段下载或断点续传。 301 Moved Permanently表示请求的资源已永久性地移动到新的位置客户端应该使用新的URL进行请求。 302 Found表示请求的资源临时移动到了新的位置客户端应该使用新的URL进行请求但以后可能还会改回旧的URL。 304 Not Modified表示资源未修改客户端可以使用本地缓存的副本。 400 Bad Request表示客户端发送的请求存在语法错误或无法理解的请求。 401 Unauthorized表示客户端请求需要进行身份验证但提供的认证信息无效。 403 Forbidden表示客户端没有权限访问请求的资源服务器拒绝了请求。 404 Not Found表示请求的资源未找到。 408 Request Timeout表示客户端请求超时。 500 Internal Server Error表示服务器在处理请求时发生了内部错误。 502 Bad Gateway表示服务器作为网关或代理服务器时从上游服务器接收到无效的响应。 503 Service Unavailable表示服务器暂时不可用通常是因为服务器过载或维护。 504 Gateway Timeout表示服务器作为网关或代理服务器时从上游服务器接收到超时响应。
持久连接
在最早的http协议中每进行一次http通信就需要做一次tcp的连接。而一次连接需要进行3次握手这种通信方式会增加通信量的开销。 为了解决TCP连接问题HTTP/1.1想出了持久连接的方法通过Connection:Keep-Alive将连接作为持久连接。持久连接的特点是只要任意一端没有明确提出断开连接则保持TCP连接状态HTTP/1.1持久连接在默认情况下是激活的。 状态管理
要知道HTTP 是无状态协议它不对之前发生过的请求和响应的状态进行管 理。也就是说无法根据之前的状态进行本次的请求处理。保留无状态协议这个特征的同时又要解决类似的矛盾问题于是引入 了 Cookie 技术。
客户端通过在请求和响应报文中写入Cookie信息来控制客户端的状态Cookie会根据从服务器端发送的响应报文内的一 个叫做Set-Cookie的首部字段信息通知客户端保存 Cookie。当下次客户端再往该服务器发送请求时客户端会自动在请求报文中加入Cookie值后发送出去。 没有Cookie信息状态下的请求 第2次以后存有cookie信息状态的请求 服务器端会提供session的机制来保存服务端的对象状态服务器使用一种类似于散列表的结构来保存信 息当程序需要为某个客户端的请求创建一个session的时候服务器首先检查这个客户端的请求是否包含了一个session标识- session id 如果已包含一个session id则说明以前已经为客户端创建过session服务器就按照 session id 把这个 session 检索出来使用如果检索不到会新建一个 如果客户端请求不包含sessionid则为此客户端创建一个 session 并且生成一个与此 session 相关联的 session id session id 的值是一个既不会重复又不容易被找到规律的仿造字符 串这个 session id 将会返回给客户端保存。 HTTPS通信协议
HTTP协议可能存在信息窃听或者身份伪装等安全问题。关于未加密的协议有些明显的不足之处 通信使用明文不加密内容可能被窃听 不验证通信方的身份因此有可能遭遇伪装 无法证明报文的完整性所以有可能已遭篡改
安全的HTTPS
HTTPSHypertext Transfer Protocol Secure是一种在HTTP基础上添加了安全性特性的通信协议。HTTPS之所以被认为是安全的主要基于以下几个关键因素 数据加密HTTPS使用加密算法来保护数据的机密性。通信过程中传输的数据会被加密使得恶意攻击者无法轻松窃取敏感信息。常见的加密算法包括TLS/SSL协议中使用的RSA、Diffie-Hellman、AES等。 身份验证HTTPS使用SSL/TLS证书来验证服务器的身份。服务器必须获得由受信任的证书颁发机构CACertificate Authority签发的数字证书这个数字证书包含了服务器的公钥用于建立安全连接。这样客户端可以确保它们正在与合法的服务器通信而不是被劫持或伪装的服务器。 数据完整性HTTPS还提供了数据完整性保护。通过使用消息摘要Message Digest和数字签名等技术客户端可以确保在传输过程中数据没有被篡改或损坏。 防止中间人攻击HTTPS的身份验证和加密机制可以防止中间人攻击Man-in-the-Middle Attack。中间人攻击是指攻击者通过篡改或窃听数据流量来窃取信息。HTTPS通过数字证书来验证通信双方的身份从而降低了中间人攻击的风险。 强大的算法和协议HTTPS使用强大的加密算法和协议来保护数据这些算法和协议经过广泛的安全审查和测试以确保它们的可靠性和安全性。 强制性对于一些敏感信息的处理如在线银行交易或个人身份验证HTTPS通常是强制性的网站必须使用HTTPS来保护用户的数据。
SSLSecure Sockets Layer是一种用于保护网络通信安全的协议。它最初由Netscape公司开发后来发展为TLSTransport Layer SecurityTLS 1.0之后的版本不再称为SSL而是TLS。SSL/TLS协议的主要目标是确保在网络上传输的数据隐私和完整性同时提供身份验证机制。
以下是SSL/TLS的主要特点和功能 加密SSL/TLS使用加密算法来保护数据的机密性。数据在传输过程中会被加密以防止未经授权的访问和窃取。 身份验证SSL/TLS提供了服务器和客户端之间的身份验证机制。服务器需要提供数字证书证明其身份是合法的而客户端也可以提供证书进行双向身份验证。这确保了通信的双方都是合法的。 数据完整性SSL/TLS通过使用消息摘要和数字签名等技术来确保数据在传输过程中没有被篡改或损坏从而提供数据的完整性保护。 防止中间人攻击SSL/TLS的身份验证和加密机制可以有效防止中间人攻击确保通信双方的安全性。 支持多种加密算法SSL/TLS支持多种加密算法包括对称加密和非对称加密以满足不同的安全需求。 版本升级SSL/TLS有多个版本每个版本都不断改进和加强安全性。TLS 1.2和TLS 1.3是目前广泛使用的版本它们提供了更强的安全性和性能。 适用于各种应用SSL/TLS不仅适用于Web浏览器和Web服务器之间的通信还可以用于保护电子邮件、文件传输、即时通信等各种应用的通信。 广泛采用SSL/TLS协议是互联网上广泛采用的安全协议许多网站和服务都使用它来保护用户的数据和隐私。
HTTP到HTTPS的演变
按下SSL的实现设计暂时不表我们看看HTTP演变到HTTPS的过程都发生了什么。
对称加密
为了保证通信过程不被篡改和窃听最开始想到的就是对内容加密同时该消息还需要能被服务端解密。那么就需要客户端和服务端用相同的密钥进行加密解密。
加密和解密同用一个密钥的方式称为共享密钥加密Common key crypto system也被叫做对称密钥加密。 以共享密钥方式加密时必须将密钥也发给对方。在互联网上转发密钥时如果通信被监听那么密钥就可会落入攻击者之手同时也就失去了加密的意义。另外还得设法安全地保管接收到的密钥。
非对称加密
公开密钥加密方式很好地解决了共享密钥加密的困难。公开密钥加密使用一对非对称的密钥。一把叫做私有密钥 private key另一把叫做公开密钥public key。顾名思义私有密钥不能让其他任何人知道而公开密钥则可以随意发布任何人都可以获得。 混合加密机制
HTTPS采用共享密钥加密和公开密钥加密两者并用的混合加密机制。若密钥能够实现安全交换那么有可能会考虑仅使用公开密钥加密来通信。但是公开密钥加密与共享密钥加密相比其处理速度要慢。所以选择了组合起来在交换密钥环节使用公开密钥加密方式之后的建立通信交换报文阶段则使用共享密钥加密方式。 证书机构
混合加密的机制设计的确很巧妙但是在公开密钥加密的环节中还是无法证明公开密钥本身就是货真价实的公开密钥。为了解决这个问题我们可以借助数字证书机构和其颁发的公共密钥证书。
数字证书认证机构业务流程: 服务器的运营人员向数字证书认证机构提出公开密钥的申请。 数字证书认证机构在判明提出申请者的身份之后会对已申请的公开密钥做数字签名分配这个已签名的公开密钥并将该公开密钥放入公钥证书后绑定在一起。
服务器会将这份由数字证书认证机构颁发的公钥证书发送给客户端以进行公开密钥加密方式通信。公钥证书也叫数字证书或者证书。
接到证书的客户端可使用数字证书认证机构的公开密钥对那张证书上的数字签名进行验证一旦验证通过客户端便可明确两件事 一认证服务器的公开密钥的是真实有效的数字证书认证机构。二 服务器的公开密钥是值得信赖的。
此处认证机关的公开密钥必须安全地转交给客户端。使用通信方式时如何安全转交是一件很困难的事因此多数浏览器开发商发布版本时会事先在内部植入常用认证机关的公开密钥。 SSL到底是什么
SSL协议是Netscape公司率先采用的网络安全协议它是在传输通信协议TCP/IP上实现的一种安全协议采用公开密钥技术SSL广泛支持各种类型的网络后来发展为TLSTransport Layer SecurityTLS 1.0之后的版本不再称为SSL而是TLS。SSL/TLS协议的主要目标是确保在网络上传输的数据隐私和完整性同时提供身份验证机制。
以下是SSL/TLS的主要特点和功能 加密SSL/TLS使用加密算法来保护数据的机密性。数据在传输过程中会被加密以防止未经授权的访问和窃取。 身份验证SSL/TLS提供了服务器和客户端之间的身份验证机制。服务器需要提供数字证书证明其身份是合法的而客户端也可以提供证书进行双向身份验证。这确保了通信的双方都是合法的。 数据完整性SSL/TLS通过使用消息摘要和数字签名等技术来确保数据在传输过程中没有被篡改或损坏从而提供数据的完整性保护。 防止中间人攻击SSL/TLS的身份验证和加密机制可以有效防止中间人攻击确保通信双方的安全性。 支持多种加密算法SSL/TLS支持多种加密算法包括对称加密和非对称加密以满足不同的安全需求。 版本升级SSL/TLS有多个版本每个版本都不断改进和加强安全性。TLS 1.2和TLS 1.3是目前广泛使用的版本它们提供了更强的安全性和性能。 适用于各种应用SSL/TLS不仅适用于Web浏览器和Web服务器之间的通信还可以用于保护电子邮件、文件传输、即时通信等各种应用的通信。 广泛采用SSL/TLS协议是互联网上广泛采用的安全协议许多网站和服务都使用它来保护用户的数据和隐私。
总的来说SSL/TLS协议是网络通信安全的重要组成部分它通过加密、身份验证和数据完整性保护等多种机制来确保通信的安全性和可信性。这使得用户可以在互联网上安全地传输敏感信息如密码、信用卡信息和个人数据。不过需要注意的是为了保持安全性SSL/TLS协议的配置和使用需要得到正确的实施。
HTTPS是身披SSL外壳的HTTP
HTTPS 并非是应用层的一种新协议。只是 HTTP 通信接口部分用 SSLSecure Socket Layer和 TLSTransport Layer Security协议代替而已。
通常HTTP直接和TCP通信。当使用SSL时则演变成先和SSL通 信再由SSL和TCP通信了。简言之所谓 HTTPS其实就是身披SSL协议这层外壳的HTTP。 在采用SSL后HTTP就拥有了HTTPS的加密、证书和完整性保护这些功能。
