今天在做雅虎的時候,發現用第三方工具截取不到客戶端與服務端的通訊,以前重來沒碰到過這種情況,仔細看了看,它的url請求時基於https的,gg了下發現原來https協定和http有很大的差別。總的來說,http效率更高,https安全性更高。
首先談談什麼是HTTPS:
HTTPS(Secure Hypertext Transfer Protocol)安全超文本傳輸協定它是一個安全通訊通道,它基於HTTP開發,用於在客戶電腦和交換伺服器之間交換資訊.它使用安全通訊端層(SSL)進行資訊交換,簡單來說它是HTTP的安全版。 它是由Netscape開發並內建於其瀏覽器中,用於對資料進行壓縮和解壓操作,並傳回網路上傳送回的結果。 HTTPS實際上應用了Netscape的安 全全套接字層(SSL)作為HTTP應用層的子層。 (HTTPS使用連接埠443,而不是像HTTP那樣使用連接埠80來和TCP/IP進行通訊。)SSL使 用40 位元關鍵字作為RC4流加密演算法,這對於商業資訊的加密是適當的。 HTTPS和SSL支援使用X.509數位認證,如果需要的話使用者可以確認發送者是誰。
HTTPS和HTTP的區別:
https協議需要到ca申請證書,一般免費證書很少,需要繳費。 http是超文本傳輸協議,訊息是明文傳輸,https 則是具有安全性的ssl加密傳輸協議 http和https使用的是完全不同的連接方式用的端口也不一樣,前者是80,後者是443。
http的連接很簡單,是無狀態的HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議要比http協議安全HTTPS解決的問題:
1 .信任主機的問題. 採用https 的server 必須從CA 申請一個用於證明伺服器用途類型的憑證. 改憑證只有用於對應的server 的時候,客戶度才信任次主機. 所以目前所有的銀行系統網站,關鍵部分應用都是https 的. 客戶透過信任該憑證,從而信任了該主機. 其實這樣做效率很低,但是銀行更側重安全. 這一點對我們沒有任何意義,我們的server ,採用的憑證不管自己issue 還是從公眾的地方issue, 客戶端都是自己人,所以我們也就肯定信任該server.
2 . 通訊過程中的數據的洩密和被竄改
一般意義上的https, 就是server 有一個證書.
a ) 主要目的是保證server 就是他聲稱的server. 這個跟第一點一樣.
b) 服務端和客戶端之間的所有通訊,都是加密的. i. 具體講,是客戶端產生一個對稱的金鑰,透過server 的憑證來交換金鑰. 一般意義上的握手過程. ii. 加下來所有的資訊往來就都是加密的. 第三方即使截獲,也沒有任何意義.因為他沒有金鑰. 當然竄改也就沒有什麼意義了.
少許對客戶端有要求的情況下,會要求客戶端也必須有一個證書.
a) 這裡客戶端證書,其實就類似表示個人信息的時候,除了用戶名/密碼, 還有一個CA 認證過的身份. 應為個人證書一般來說上別人無法模擬的,所有這樣能夠更深的確認自己的身份.
b) 目前少數個人銀行的專業版是這種做法,具體證書可能是拿U盤作為一個備份的載體.像我用的交通銀行的網上銀行就是採取的這種方式。 HTTPS 一定是繁瑣的. a) 本來簡單的http協議,一個get一個response. 由於https 要還密鑰和確認加密算法的需要.單握手就需要6/7 個往返. i. 任何應用中,過多的round trip 肯定影響性能. b) 接下來才是具體的http協議,每一次響應或者請求, 都要求客戶端和服務端對會話的內容做加密/解密. i. 儘管對稱加密/解密效率比較高,可是仍然要消耗過多的CPU,為此有專門的SSL 晶片. 如果CPU 信能比較低的話,肯定會降低性能,從而不能serve 更多的請求.
符:SSL的簡介:
SSL是Netscape公司所提出的安全保密協議,在瀏覽器(如Internet Explorer、Netscape Navigator)和Web伺服器(如Netscape的Netscape Enterprise Server、ColdFusion Server等等)之間建構安全通道來進行資料傳輸,SSL運行在TCP/IP層之上、應用層之下,為應用程式提供加密資料通道,它採用了RC4、MD5 以及RSA等加密演算法,使用40 位元的金鑰,適用於商業資訊的加密。同時,Netscape公司相應開發了HTTPS協定並內建於其瀏覽器中,HTTPS實際上是SSL over HTTP,它使用預設連接埠443,而不是像HTTP那樣使用連接埠80來和TCP/IP進行通訊。 HTTPS協定使用SSL在發送方把原始資料加密,然後在接受方進行解密,加密和解密需要發送方和接受方透過交換共知的金鑰來實現,因此,所傳送的資料不容易被網路駭客截獲和解密。 然而,加密和解密過程需要耗費系統大量的開銷,嚴重降低機器的效能,相關測試資料顯示使用HTTPS協定傳輸資料的工作效率只有使用HTTP協定傳輸的十 分之一。假如為了安全保密,將一個網站所有的Web應用都啟用SSL技術來加密,並使用HTTPS協議進行傳輸,那麼該網站的性能和效率將會大大降低,而且沒有這個必要,因為一般來說並不是所有資料都要求那麼高的安全保密級別,所以,我們只需對那些涉及機密資料的交互處理使用HTTPS協議,這樣就做到魚與熊掌兼得。總之不需要用https 的地方,就盡量不要用。
web前端有哪些框架Aug 23, 2022 pm 03:31 PMweb前端框架有:1、Angular,一种用于创建单一应用程序界面的前端框架;2、react,一个用来构建用户界面的JavaScript开发框架;3、vue,一套用于构建用户界面的渐进式JavaScript框架;4、Bootstartp,是基于HTML、CSS、JavaScript的前端框架;5、QUICK UI,一套企业级web前端开发解决方案;6、SUI,一个前端组件库。
什么是web前端工程师Aug 23, 2022 pm 05:10 PMweb前端工程师是从事Web前端开发工作的工程师,主要工作是进行网站的开发、优化、完善;主要职责是利用各种专业技术进行客户端产品的开发,然后结合后台开发技术模拟整体效果,为网站上提供的产品和服务实现一流的Web界面,优化代码并保持良好兼容性,致力于通过技术改善用户体验。
2023年精选Web前端面试题大全及答案(收藏)Apr 08, 2021 am 10:11 AM本篇文章给大家总结一些值得收藏的精选Web前端面试题(附答案)。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。
【吐血整理】2023年最新前端面试题大全及答案(收藏)Jun 29, 2022 am 11:20 AM本篇文章给大家总结一些值得收藏的精选Web前端面试题(附答案)。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。
web前端笔试题库之HTML篇Apr 21, 2022 am 11:56 AM总结了一些web前端面试(笔试)题分享给大家,本篇文章就先给大家分享HTML部分的笔试题(附答案),大家可以自己做做,看看能答对几个!
web标准有哪些好处Sep 20, 2023 pm 03:34 PMweb标准的好处有提供更好的跨平台兼容性、可访问性、性能、搜索引擎排名、开发和维护成本、用户体验以及代码的可维护性和可重用性。详细说明:1、跨平台兼容性,确保网站在不同的操作系统、浏览器和设备上都能正确显示和运行;2、提高可访问性,可以确保网站对所有用户都是可访问的;3、加快网站加载速度,用户可以更快地访问和浏览网站,提供更好的用户体验;4、提高搜索引擎排名等等。
云计算与web前端挂钩吗Jan 29, 2023 am 10:45 AM云计算与web前端有挂钩。云计算在web前端的体现就是可以到云里拿一些资源来支撑业务;这些资源可以是计算能力、存储空间等硬件资源,也可以是各种应用、服务甚至桌面等软件资源。再次细分之后可以看到,当云计算体现到前端时,终端用户获得的要么是应用,要么是桌面;那桌面云的概念就应运而生了。桌面云的重点也在于应用,为用户搭建了种种桌面云应用环境,解决用户所遇到的各种业务问题。
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
AI Hentai Generator
免費產生 AI 無盡。
熱門文章
熱工具
ZendStudio 13.5.1 Mac
強大的PHP整合開發環境
EditPlus 中文破解版
體積小,語法高亮,不支援程式碼提示功能
MantisBT
Mantis是一個易於部署的基於Web的缺陷追蹤工具,用於幫助產品缺陷追蹤。它需要PHP、MySQL和一個Web伺服器。請查看我們的演示和託管服務。
SublimeText3 Linux新版
SublimeText3 Linux最新版
mPDF
mPDF是一個PHP庫,可以從UTF-8編碼的HTML產生PDF檔案。原作者Ian Back編寫mPDF以從他的網站上「即時」輸出PDF文件,並處理不同的語言。與原始腳本如HTML2FPDF相比,它的速度較慢,並且在使用Unicode字體時產生的檔案較大,但支援CSS樣式等,並進行了大量增強。支援幾乎所有語言,包括RTL(阿拉伯語和希伯來語)和CJK(中日韓)。支援嵌套的區塊級元素(如P、DIV),
