HTTP及HTTPS简单介绍

最新推荐文章于 2023-04-18 20:44:56 发布
最新推荐文章于 2023-04-18 20:44:56 发布
阅读量477 收藏
点赞数 1
文章标签: http https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60941423/article/details/121617258
版权

HTTP

超文本传输协议(Hyper Text Transfer Protocol,HTTP)是一个简单的请求-响应协议,它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。请求和响应消息的头以ASCII形式给出;而消息内容则具有一个类似MIME的格式。这个简单模型是早期Web成功的有功之臣,因为它使开发和部署非常地直截了当。

应用场景

HTTP诞生之初主要是应用于WEB端内容获取,那时候内容还不像现在这样丰富,排版也没那么精美,用户交互的场景几乎没有。对于这种简单的获取网页内容的场景,HTTP表现得还算不错。但随着互联网的发展和WEB2.0的诞生,更多的内容开始被展示(更多的图片文件),排版变得更精美(更多的CSS),更复杂的交互也被引入(更多的JS)。用户打开一个网站首页所加载的数据总量和请求的个数也在不断增加。

今天绝大部分的门户网站首页大小都会超过2M,请求数量可以多达100个。另一个广泛的应用是在移动互联网的客户端app,不同性质的app对HTTP的使用差异很大。对于电商类app,加载首页的请求也可能多达10多个。对于微信这类IM,HTTP请求可能仅限于语音和图片文件的下载,请求出现的频率并不算高。

工作原理

  • 浏览器分析url
  • dns解析
  • 建立TCP连接/三次握手
  • 用户发起http请求
  • 服务器给用户http响应
  • 关闭浏览器
  • 四次挥手断开TCP连接
  • 浏览器显示出请求内容

报文格式

HTTP报文由从客户机到服务器的请求和从服务器到客户机的响应构成。请求报文格式如下:

请求行 - 通用信息头 - 请求头 - 实体头 - 报文主体

请求行以方法字段开始,后面分别是URL字段和HTTP协议版本字段,并以CRLF结尾。SP是分隔符。除了在最后的CRLF序列中CF和LF是必需的之外,其他都可以不要。有关通用信息头,请求头和实体头方面的具体内容可以参照相关文件。

应答报文格式如下:

状态行 - 通用信息头 - 响应头 - 实体头 - 报文主体

状态码元由3位数字组成,表示请求是否被理解或被满足。原因分析是对原文的状态码作简短的描述,状态码用来支持自动操作,而原因分析用来供用户使用。客户机无需用来检查或显示语法。有关通用信息头,响应头和实体头方面的具体内容可以参照相关文件。

状态消息

成功 

消息

描述

200 OK

请求成功(其后是对GET和POST请求的应答文档。)

重定向 

消息

描述

301 Moved Permanently

所请求的页面已经转移至新的url。

302 Found

所请求的页面已经临时转移至新的url。

客户端错误

消息

描述

400 Bad Request

服务器未能理解请求。

401 Unauthorized

被请求的页面需要用户名和密码。

403 Forbidden

对被请求页面的访问被禁止。

404 Not Found

服务器无法找到被请求的页面。

 服务器错误

消息

描述

501 Not Implemented

请求未完成。服务器不支持所请求的功能。

502 Bad Gateway

请求未完成。服务器从上游服务器收到一个无效的响应。

HTTPS

HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性 [1]
 。HTTPS 在HTTP 的基础下加入SSL,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与 TCP之间)。这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安全敏感的通讯,例如交易支付等方面 。

HTTP的缺点

HTTP虽然使用极为广泛, 但是却存在不小的安全缺陷, 主要是其数据的明文传送和消息完整性检测的缺乏, 而这两点恰好是网络支付, 网络交易等新兴应用中安全方面最需要关注的

关于 HTTP的明文数据传输, 攻击者最常用的攻击手法就是网络嗅探, 试图从传输过程当中分析出敏感的数据, 例如管理员对Web程序后台的登录过程等等, 从而获取网站管理权限, 进而渗透到整个服务器的权限。即使无法获取到后台登录信息, 攻击者也可以从网络中获取普通用户的隐秘信息, 包括手机号码, 身份证号码, 信用卡号等重要资料, 导致严重的安全事故。进行网络嗅探攻击非常简单, 对攻击者的要求很低。使用网络发布的任意一款抓包工具, 一个新手就有可能获取到大型网站的用户信息。

另外,HTTP在传输客户端请求和服务端响应时, 唯一的数据完整性检验就是在报文头部包含了本次传输数据的长度, 而对内容是否被篡改不作确认。 因此攻击者可以轻易的发动中间人攻击, 修改客户端和服务端传输的数据, 甚至在传输数据中插入恶意代码, 导致客户端被引导至恶意网站被植入木马。

HTTPS协议的改进


  • 双向的身份认证

  1. 客户端和服务端在传输数据之前,会通过基于X.509证书对双方进行身份认证 。具体过程如下 [3]
     :
  2. 客户端发起 SSL 握手消息给服务端要求连接。
  3. 服务端将证书发送给客户端。
  4. 客户端检查服务端证书,确认是否由自己信任的证书签发机构签发。 如果不是,将是否继续通讯的决定权交给用户选择 ( 注意,这里将是一个安全缺陷 )。如果检查无误或者用户选择继续,则客户端认可服务端的身份。
  5. 服务端要求客户端发送证书,并检查是否通过验证。失败则关闭连接,认证成功则从客户端证书中获得客户端的公钥,一般为1024位或者 2048位。到此,服务器客户端双方的身份认证结束,双方确保身份都是真实可靠的。


  • 数据传输的机密性

  1. 客户端和服务端在开始传输数据之前,会协商传输过程需要使用的加密算法。 客户端发送协商请求给服务端, 其中包含自己支持的非对称加密的密钥交换算法 ( 一般是RSA), 数据签名摘要算法 ( 一般是SHA或者MD5) , 加密传输数据的对称加密法 ( 一般是DES),以及加密密钥的长度。 服务端接收到消息之后,选中安全性最高的算法,并将选中的算法发送给客户端,完成协商。客户端生成随机的字符串,通过协商好的非对称加密算法,使用服务端的公钥对该字符串进行加密,发送给服务端。 服务端接收到之后,使用自己的私钥解密得到该字符串。在随后的数据传输当中,使用这个字符串作为密钥进行对称加密。


  • 防止重放攻击

  1. SSL使用序列号来保护通讯方免受报文重放攻击。这个序列号被加密后作为数据包的负载。在整个SSL握手中,都有一个唯一的随机数来标记SSL握手。 这样防止了攻击者嗅探整个登录过程,获取到加密的登录数据之后,不对数据进行解密, 而直接重传登录数据包的攻击手法。
  2. 可以看到,鉴于电子商务等安全上的需求,HTTPS对比HTTP,在安全方面已经取得了极大的增强。总结来说,HTTPS的改进点在于创造性的使用了非对称加密算法,在不安全的网路上,安全的传输了用来进行对称加密的密钥,综合利用了非对称加密的安全性和对称加密的快速性。

HTTPS与HTTP原理区别

  • HTTPS 主要由两部分组成:HTTP + SSL / TLS,也就是在 HTTP 上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过 TLS 进行加密,所以传输的数据都是加密后的数据。

  • HTTP 原理

  1. 客户端的浏览器首先要通过网络与服务器建立连接,该连接是通过TCP 来完成的,一般 TCP 连接的端口号是80。 建立连接后,客户机发送一个请求给服务器,请求方式的格式为:统一资源标识符(URL)、协议版本号,后边是 MIME 信息包括请求修饰符、客户机信息和许可内容。
  2. 服务器接到请求后,给予相应的响应信息,其格式为一个状态行,包括信息的协议版本号、一个成功或错误的代码,后边是 MIME 信息包括服务器信息、实体信息和可能的内容 。

  • HTTPS 原理

  1. 客户端将它所支持的算法列表和一个用作产生密钥的随机数发送给服务器;
  2. 服务器从算法列表中选择一种加密算法,并将它和一份包含服务器公用密钥的证书发送给客户端;该证书还包含了用于认证目的的服务器标识,服务器同时还提供了一个用作产生密钥的随机数;
  3. 客户端对服务器的证书进行验证(有关验证证书,可以参考数字签名),并抽取服务器的公用密钥;然后,再产生一个称作 pre_master_secret 的随机密码串,并使用服务器的公用密钥对其进行加密(参考非对称加 / 解密),并将加密后的信息发送给服务器;
  4. 客户端与服务器端根据 pre_master_secret 以及客户端与服务器的随机数值独立计算出加密和 MAC密钥(参考 DH密钥交换算法);
  5. 客户端将所有握手消息的 MAC 值发送给服务器;
  6. 服务器将所有握手消息的 MAC 值发送给客户端 

  • 优点

  1. 使用 HTTPS 协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;
  2. HTTPS 协议是由 SSL+HTTP构建的可进行加密传输、身份认证的网络协议,要比 HTTP安全,可防止数据在传输过程中被窃取、改变,确保数据的完整性。
  3. HTTPS 是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。

  • 缺点

  1. 相同网络环境下,HTTPS 协议会使页面的加载时间延长近 50%,增加 10%到 20%的耗电。此外,HTTPS 协议还会影响缓存,增加数据开销和功耗 。
  2. HTTPS 协议的安全是有范围的,在黑客攻击、拒绝服务攻击和服务器劫持等方面几乎起不到什么作用。
  3. 最关键的是,SSL 证书的信用链体系并不安全。特别是在某些国家可以控制 CA 根证书的情况下,中间人攻击一样可行。
  4. 成本增加。部署 HTTPS 后,因为 HTTPS 协议的工作要增加额外的计算资源消耗,例如 SSL 协议加密算法和 SSL 交互次数将占用一定的计算资源和服务器成本。在大规模用户访问应用的场景下,服务器需要频繁地做加密和解密操作,几乎每一个字节都需要做加解密,这就产生了服务器成本。随着云计算技术的发展,数据中心部署的服务器使用成本在规模增加后逐步下降,相对于用户访问的安全提升,其投入成本已经下降到可接受程度。
Wonly.May.24
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
https工作原理简单介绍.docx
05-12
https工作原理简单介绍.docxhttps工作原理简单介绍.docxhttps工作原理简单介绍.docxhttps工作原理简单介绍.docxhttps工作原理简单介绍.docxhttps工作原理简单介绍.docxhttps工作原理简单介绍.docxhttps工作原理简单...
Android(root)设备HTTPS请求时间校准
高飞的专栏
08-31 1467
https请求已经成为各大公司的标配。但是在请求的时候,由于https证书是有时间限制,所以必须保证本地的时间是准确的。这里提供一种时间校准的思路。
Android使用Https证书有效期与手机时间不符合时,如何验证通过
spyfool的博客
02-26 6671
安卓使用https导入证书的方法请看这篇文章《NoHttp详解之NoHttp最基本使用(无封装)》,使用这篇文章的方法已经可以解决https使用过程中的问题,本文只是建立在这篇文章之上的小小拓展。 在使用https证书导入时默认配置通过了所有链接,这有点不安全,但是某些手机由于时间并不是正常时间,在使用https会报错,只想避免这一点时可以对验证时间时不报错,具体代码如下: new Tru
Http协议报文格式
热门推荐
u013914309的博客
05-29 1万+
一、整体介绍 Http协议在传输层基于TCP协议,在Http1.1之前每次请求在TCP层都需进行一轮连接和释放(三次握手、四次握手),从Http1.1开始默认使用长连接。 Http报文分为两种,请求报文和响应报文,大致格式如下: 1.请求报文结构: 请求行{请求方法(get/post等)+ URL +协议版本号 } + 头部 { 按照规范,根据自己需要来选择性添加 .........
HTTP报文格式详解
try to do
03-30 1750
https://www.cnblogs.com/churi/p/3685808.html HTTP报文是面向文本的,报文中的每一个字段都是一些ASCII码串,各个字段的长度是不确定的。HTTP有两类报文:请求报文和响应报文。 1 HTTP请求报文 一个HTTP请求报文由请求行(request line)、请求头部(header)、空行和请求数据4个部分组成,下图给出了请求报文的一般格式。 or ...
PHP简单实现HTTPHTTPS跨域共享session解决办法
10-24
主要介绍了PHP简单实现HTTPHTTPS跨域共享session解决办法,本文讲解的方法相对简单,需要的朋友可以参考下
reverseproxy:golang的极简httphttps代理库
02-03
受net/http/httputil启发的go的简约代理库,并使用HTTP隧道添加对HTTPS的支持 支持人员通过关闭其连接来取消正在进行的请求 安装 go get github.com/cssivision/reverseproxy 用法 一个简单的代理 package main ...
HTTPHTTPS对访问速度、性能等的影响
09-30
HTTPS 在保护用户隐私,防止流量劫持方面发挥着非常关键的作用,但与此同时,HTTPS 也会降低用户访问速度,增加网站服务器的计算资源消耗,这里就为大家简单介绍一下,需要的朋友可以参考下
python中requests和https使用简单示例
09-20
主要介绍了python中requests和https使用简单示例,具有一定借鉴价值,需要的朋友可以参考下
HTTP报文格式
weixin_46232441的博客
01-10 1875
1、HTTP请求报文 HTTP请求报文第一行是请求行,其后继的行叫做首部行。每行由一个回车和换行符结束,最后一行再附加一个回车换行符。一个请求报文至少为一行。 GET /main/page.html HTTP/1.1 Host: www.wtongxue.net Connection: keep-alive User-Agent: Mozilla/5.0 Accept-language:zh-CN 请求行:由方法字段、URL字段和HTTP版本字段组成,其中,方法字段包括:GET、POST、HEAD、PU
【网路】-- http协议
weixin_64609308的博客
04-18 1112
HTTP 协议 (超文本传输协议HyperText Transfer Protocol),它是基于TCP协议的应用层传输协议,简单来说就是客户端和服务端进行数据传输的一种规则。
HTTPS,证书有效期与手机时间不符合时,如何让验证通过
whotodo
09-27 1470
情景:公司购买了三年verisign的证书使用期,但是手机本地时间如果设为这三年以外的,会发生证书过期CertificateExpiredException或者证书尚未生效CertificateNotYetValidException的异常,这样基于https的网络交互都将无法进行下去,还需要提醒用户取更改手机时间,再回来进行网络操作,影响到用户体验。 目的:对于证书有效期引起的这两个异常,...
HTTP协议的基本格式
weixin_64597430的博客
03-21 7141
HTTP协议是一个应用层的协议。主要用于浏览器和web服务器之间的交互。
HTTPHTTPS详解
w_s_h_y的博客
09-01 1485
转自:http://www.cnblogs.com/ok-lanyan/archive/2012/07/14/2591204.html HTTP是一个属于应用层的面向对象的协议,由于其简捷、快速的方式,适用于分布式超媒体信息系统。它于1990年提出,经过几年的使用与发展,得到不断地完善和扩展。目前在WWW中使用的是HTTP/1.0的第六版,HTTP/1.1的规范化工作正在进行之中,而且HTT
程序员必知必会:Http 报文格式
weixin_46569059的博客
09-11 1万+
请求报文: 响应报文: 请求行 Method + Path + HTTP 版本 状态行 HTTP 版本 + 状态码 + 状态信息 Http Method GET POST PUT DELETE HEAD HEAD 方法要求与 GET 请求相同的响应,但没有响应主体。这对于检索响应标头中写入的元信息很有用,而不必传输整个内容。 TRACE 回显服务器收到的请求,主要用于测试或诊断。 OPTIONS 这个方法可使服务器传回该资源所支持的所有 HTTP 请求方法。用
Web服务器踩坑之旅03:解析HTTP请求报文
weixin_45792310的博客
03-05 2710
项目地址: 本文实现的文件在源码中的SimpleWebServer/http_parser目录下 本文内容 目标:解析HTTP报文,从而获取客户请求的文件的文件名及文件地址 浏览器与服务器间的通信过程 URL与URI HTTP协议 HTTP请求报文 解析HTTP请求报文 浏览器与服务器间的通信过程 URL和URI URL:(Uniform Resource Locator)统一资源定位符 URI:(Uniform Resource Identifier)就是某个协议方案表示的资源的定位标识
HTTP协议之——HTTP报文格式
Chenglin(Ben) Yu's Miracle
06-04 1265
HTTP报文格式(我们研究的是HTTP/1.1版本的) 首先有两种类型的HTTP报文 请求报文 响应报文 不一样,我们分别来介绍HTTP请求报文 下面看一个typical的HTTP请求报文的例子 GET /somedir/page.html HTTP/1.1 Host: www.someschool.edu Connection: close User-agent: Mozilla/5.0...
org.apache.http.client.methods; 下HttpDelete方法介绍及Demo
最新发布
07-25
在org.apache.http.client.methods包中,有一个类HttpDelete,它是HttpClient库中的一个HTTP DELETE请求的实现类。使用HttpDelete类,我们可以发送DELETE请求到指定的URL。 下面是一个简单的示例代码,展示如何使用HttpDelete类发送DELETE请求: ```java import org.apache.http.client.methods.HttpDelete; import org.apache.http.impl.client.CloseableHttpClient; import org.apache.http.impl.client.HttpClients; import org.apache.http.client.utils.URIBuilder; import java.net.URI; import java.net.URISyntaxException; import java.io.IOException; public class Main { public static void main(String[] args) { CloseableHttpClient httpClient = HttpClients.createDefault(); try { URI uri = new URIBuilder() .setScheme("https") .setHost("api.example.com") .setPath("/data/123") .build(); HttpDelete httpDelete = new HttpDelete(uri); // 在这里可以对httpDelete进行一些配置和设置,例如设置请求头、设置超时时间等 // 执行请求并获取响应 CloseableHttpResponse response = httpClient.execute(httpDelete); // 在这里可以处理响应,例如获取响应状态码、读取响应内容等 // 最后关闭响应和HTTP客户端 response.close(); httpClient.close(); } catch (URISyntaxException e) { e.printStackTrace(); } catch (IOException e) { e.printStackTrace(); } } } ``` 在上述示例中,我们使用HttpDelete类创建了一个DELETE请求。通过URIBuilder构建了一个URI对象,设置了请求的URL和路径。然后,我们创建了一个HttpDelete对象,并传入这个URI作为参数。 在实际使用中,我们可以通过HttpDelete对象的一些方法对请求进行配置和设置,例如设置请求头、设置超时时间等。 接下来,我们使用HttpClient对象的execute()方法来执行请求,并获取响应对象CloseableHttpResponse。在实际应用中,我们可以通过响应对象来处理服务器返回的数据,例如获取响应状态码、读取响应内容等。 最后,我们需要在适当的时候关闭响应和HTTP客户端,释放资源。 请注意,示例中的代码片段并不完整,你需要根据自己的需求进行适当的修改和扩展。同时,为了正确使用HttpClient库,你可能需要导入相关的依赖包和处理异常情况。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Wonly.May.24

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值