其实我也是新学习的,是一次面试题。在这里学习一下,懂一点原理更好一点。
HTTS
HyperText Transfer Protocol over Secure Socket Layer
基于安全套接字层的超文本传输协议(HTTP–> HyperText Transfer Protocol ,超文本传输协议,是浏览器等与web服务器之间的应用层通讯协议)可以理解为HTTP+SSL/TLS,即HTTP加入了SSL层,HTTPS的安全基础就是SSL,用于安全的HTTP数据传输。
如图:
SSL:(Secure Socket Layer,安全套接字)
TLS:(Transport Layer Security,传输层安全)
HTTP访问
域名解析 –> 发起TCP的3次握手(被问到四次挥手) –> 建立TCP连接后发起http请求 –> 服务器响应http请求,浏览器得到html代码 –> 浏览器解析html代码,并请求html代码中的资源(如js、css、图片等) –> 浏览器对页面进行渲染呈现给用户
https://www.cnblogs.com/engeng/articles/5959335.html
非常细致很棒。可以参考
客户端与服务器之间没有任何身份确认的过程,数据全部明文传输,“裸奔”在互联网上,所以很容易遭到黑客的攻击
HTTP 传输风险
- 窃听风险:黑客可以获知通信内容。
- 篡改风险:黑客可以修改通信内容。
- 冒充风险:黑客可以冒充他人身份参与通信。
使用HTTPS
对称机密
非对称加密
1.首先浏览器都取证书中的证书所有者、有效期等信息进行校验
2.查找操作系统中已内置的收信人证书发布机构CA,与服务器发来的证书颁发者CA对比,用于校验证书是否为合法机构颁发
3.若找不到,浏览器报错,该服务器发来的证书是不可信任的
4.若找到,浏览器就会从操作系统中取出颁发者CA公钥,然后对服务器发来的证书里面的签名进行解密
5.浏览器使用相同的Hash宣发计算出服务器发来的证书的Hash值,与证书中签名做对比
6.若一致,该证书合法,没有被冒充,结果同3
7.此时浏览器就可以读取证书中的公钥,用于后续加密
HTTPS传输更加安全
1.所有信息都是加密的,无法被窃听
2.具有校验机制,一旦篡改,通信双方可以立即发现
3.配置身份证书,防止身份被冒充。
参考
http://baijiahao.baidu.com/s?id=1570143475599137&wfr=spider&for=pc
浏览器一次请求中包含哪些数据,什么格式,如何传递值等,我还要学习啊。。。。
新手见谅