应用层之http、https、cookie和session

最新推荐文章于 2023-10-08 15:16:51 发布
最新推荐文章于 2023-10-08 15:16:51 发布
阅读量430 收藏 1
点赞数 3
分类专栏: 网络 文章标签: 网络 java http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46660141/article/details/115000250
版权

应用层

1.http协议

1.1 http封装后数据报的格式

在这里插入图片描述

1.2 http常用的方法

http中最常用的就是get和post方法,除此之外还有一些其他的方法,get一般用于获取/查询资源信息,而post一般用于更新资源信息。

在这里插入图片描述

1.3 get和post方法的区别

  1. 使用get方法可以被收藏为书签,可以被缓存,参数保留在历史记录中;而post方法这些都不行
  2. get方式提交数据的大小(一般来说1024字节),http协议并没有硬性限制,而是与浏览器、服务器、操作系统有关。post理论上来说没有大小限制,http协议规范也没有进行大小限制,但实际上post所能传递的数据量根据取决于服务器的设置和内存大小。
  3. 对数据类型的限制:get方法只允许ASCII字符;post无限制,也允许二进制数据
  4. 安全性:get方法的安全性较差,因为发送的数据时URL的一部分,而post方法传输数据的时候。请求数据可以放在请求正文里面
  5. 可见性:get方法数据在URL中,对所有人是可见的,而post方法数据不会显示在URL中
    在这里插入图片描述

1.4 http状态码

在这里插入图片描述
在这里插入图片描述

1.5 http常见header

  • Content-Type:数据类型(text/html等)
  • Content-Length:Body的长度(消息体的长度)
  • Host:客户端告诉服务器,所请求的资源是在哪个主机的哪个端口上
  • User-Agent:声明用户的浏览器版本信息
  • referer:当前页面是从哪个页面上跳转过来的
  • location:搭配3xx状态码使用,告诉客户端接下来要去哪里访问
  • Cookie:用于客户端存储少量信息,通常用于实现会话(session)功能

2.session和cookie

2.1 cookie

http是一个无状态协议,但是访问有些资源时往往要经过认证才能访问,而且要一直保持在线状态,所以,cookie十一中在浏览器端解决的方案,将登录认证之后的用户信息保存在本地浏览器中,后面发起http请求,都会自动携带上该信息,就能达到认证用户,保持用户在线的作用

  • 使用场景:免登陆
  • 实现:将用户的信息保存在客户端本地(和浏览器相关的本地路径下,保存用户信息到本地文件)域名绑定用户信息的cookie,之后访问某个域名时,自动从本地抓取该域名的cookie信息
  • 用户登录,校验通过时,响应头携带set-cookie,告诉客户端,让浏览器自动设置cookie到本地之后每次请求,浏览器自动携带cookie头。
  • cookie是保存在客户端本地文件,使用场景:多少天免登录

2.2 session

将用户敏感信息放到本地浏览器中,能解决一定得问题,但是又引入了新的安全问题,一旦cookie丢失,用户信息泄露,也很容易造成跨站共计,所以有了另一种解决方法,将用户敏感系信息保存至服务器,而服务器本森采用md5算法或相关算法生成唯一值(session id),将该值保存至客户端浏览器中,随后,客户端后序2请求,浏览器会自动携带该id,进而再在服务器端认证,达到状态保持的效果

登录操作:

  1. 生成随机的字符串session id,保存在Tomcat的用户信息数据结构中,session id绑定一个用户,一个用户保存多个信息
  2. 把session id 放在响应头,头信息的键值对,键是对方约定好的,值就是session id 的值
  3. 客户端之后的请求,都携带session id
  4. 服务端接收请求,都验证session id (在map中根据通行证号、查询用户,来判断是否登录)

面试:

  1. session 是用来干嘛的?会话,用来保持用户身份,主要解决需要登录的敏感资源访问的问题
  2. 如何实现?通过服务器保存session的信息
  3. 流程
  4. session 在会话结束(超时或注销),服务器重启消失

2.3 cookie和session的区别

  1. cookie以文本格式存储在浏览器中,而session存储在服务端
  2. 因为每次发起http请求,都要携带有效的cookie信息,所以cookie一般有大小限制,以防止增加网络压力,一般不超过4k
  3. 可以轻松访问cookie值但我们无法轻松访问会话值,因此session方案更安全
  • 数据存放位置不同:cookie数据存放在客户的浏览器上,session数据放在服务器上。
  • 安全程度不同:cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗,考虑到安全应当使用session。
  • 性能使用程度不同:session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用cookie。
  • 数据存储大小不同:单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie,而session则存储与服务端,浏览器对其没有限制。
  • 会话机制不同:session会话机制:session会话机制是一种服务器端机制,它使用类似于哈希表(可能还有哈希表)的结构来保存信息。cookies会话机制:cookie是服务器存储在本地计算机上的小块文本,并随每个请求发送到同一服务器。 Web服务器使用HTTP标头将cookie发送到客户端。在客户端终端,浏览器解析cookie并将其保存为本地文件,该文件自动将来自同一服务器的任何请求绑定到这些cookie。

3. http和https的区别

  • HTTP 是超文本传输协议,信息是明文传输,HTTPS 则是具有安全性的 SSL 加密传输协议。
  • HTTP 和 HTTPS 使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
  • HTTP 的连接很简单,是无状态的。HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,比 HTTP 协议安全。(无状态的意思是其数据包的发送、传输和接收都是相互独立的。无连接的意思是指通信双方都不长久的维持对方的任何信息。)

3.1 https的优点

  • 使用 HTTPS 协议可认证用户和服务器,确保数据发送到正确的客户机和服务器。
  • HTTPS 协议是由SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,要比 HTTP 协议安全,可防止数据在传输过程中不被窃取、修改,确保数据的完整性。
  • HTTPS 是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。

3.2 https的缺点

  • HTTPS 协议握手阶段比较费时,会使页面的加载时间延长近。
  • HTTPS 连接缓存不如 HTTP 高效,会增加数据开销,甚至已有的安全措施也会因此而受到影响。
  • HTTPS 协议的安全是有范围的,在黑客攻击、拒绝服务攻击和服务器劫持等方面几乎起不到什么作用。
  • SSL 证书通常需要绑定 IP,不能在同一 IP 上绑定多个域名,IPv4 资源不可能支撑这个消耗。
  • 成本增加。部署 HTTPS 后,因为 HTTPS 协议的工作要增加额外的计算资源消耗,例如 SSL 协议加密算法和 SSL 交互次数将占用一定的计算资源和服务器成本。
  • HTTPS 协议的加密范围也比较有限。最关键的,SSL 证书的信用链体系并不安全,特别是在某些国家可以控制 CA 根证书的情况下,中间人攻击一样可行。

关于http和https,下面这篇文章总结的非常好,我们可以参考:http和https面试常考问题

小猪媛不圆
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
cookie中存储的值设置httponly和secure
qq_28600087的博客
02-27 5931
最近公司的项目有要求将sessionid做成httponly和secure可配置的设定。 首先什么是httponly和secure呢?是cookie中的两个属性 当设置了httponly为true时,通过js脚本是无法获取到cookie的信息的。防止XSS攻击。 secure为true时,服务只能通过https来进行cookie的传递,使用http服务无法提供服务。 设置sessionid...
关于HTTPHTTPScookie
weixin_44258947的博客
01-13 456
关于HTTPHTTPScookie
HTTPHTTPS、请求、返回、HTTP响应码、cookie、编码
m0_59856804的博客
10-24 1552
request请求数据包格式、response返回数据包数据格式、HTTPHTTPS、请求、返回、HTTP响应码、cookie、编码
模拟https请求获取cookie
qq_36220273的博客
01-09 2465
目录 前言 正文 HttpPost发送https请求方式 1.引入依赖包 2.重写HttpClient 3.发送请求默认带参,不传参为null就行 4.附上cookie获取代码 HttpsURLConnection发送https请求方式 1.重写X509TrustManager 2.发送https请求 3.附上cookie获取方法 前言 最近项目要求访问其他设...
PHP简单实现HTTPHTTPS跨域共享session解决办法
10-24
本篇文章将探讨如何使用PHP实现HTTPHTTPS之间的session共享,以解决cookie失效问题。 首先,理解sessioncookie的关系至关重要。在PHP中,session默认依赖于cookie来存储session ID,这个ID是一个唯一的标识符,...
cookiesession.docx
05-30
在Web开发中,CookieSession是两种非常重要的用户状态管理机制。它们被用来跟踪用户的登录状态、购物车信息等,确保在多个页面间保持一致性。接下来,我们将详细探讨这两个概念,以及它们在实际应用中的使用。 **...
PHP和NodeJs开发的应用如何共用Session
01-20
总结来说,共享Session的关键在于统一的标识(Cookie中的Session ID)和共享的数据存储(如Redis)。通过这两个关键点的协调,PHP和Node.js能够无缝地协作,为用户提供一致的会话体验。在设计和实施这种解决方案时,...
Cookie&Session&JSP(十二).zip
06-23
在Web开发中,Cookie、...总结来说,CookieSession和JSP是构建Web应用的关键技术。理解并熟练运用它们,有助于提升Web开发的效率和质量。在实际项目中,应根据需求合理选择和组合使用,以实现高效、安全的用户交互。
深入学习C#网络编程之HTTP应用编程(上)
08-19
HTTP(HyperText Transfer Protocol)是一种用于分布式、协作式和超媒体信息系统的应用层协议,它是万维网(WWW)的基础,允许用户从WWW服务器传输超文本文件。 在C#中进行HTTP应用编程,首先涉及的是TCP/IP协议栈...
java 网络请求 支持https 记录cookie并带入请求
s13488941815的专栏
02-13 2262
之前遇到这样的需求,弄了半天才成功,记录一下 定义变量 public static String cookieVal="";  public static String firstCookie="";  public static String allcookie=""; 然后是请求方法,我只弄了get请求 public static String Get(String url_ge...
Cookie注入漏洞:可绕过HTTPS并窃取私人信息
weixin_34194551的博客
08-01 593
近期,一个存在于主要浏览器的Web cookie中的严重漏洞被发现,它使安全的浏览方式(HTTPS)容易遭受中间人攻击。此外,大部分Web网站和流行的开源应用程序中可能都含有Cookie注入漏洞,包括:谷歌、亚马逊、eBay、苹果、美国银行、BitBucket、中国建设银行、中国银联、京东、phpMyAdmin以及MediaWiki。 美国计算机紧急响...
接口测试丨httphttps get、post sessioncookie、token
最新发布
weixin_47648853的博客
10-08 1339
HTTP 的 method 字段不同POST 可以附加 body,可以支持 form、json、xml、binary 等各种数据格式行业通用的规范无状态变化的建议使用 GET 请求数据的写入与状态修改建议用 POST传送数据量不同安全性不同Broker:消息服务器,提供消息核心服务Producer:消息生产者,业务的发起方,负责生产消息传输给 broker。Consumer:消息消费者,业务的处理方,负责从 broker 获取消息并进行业务逻辑处理。读写性能优异。
http https session丢失
fly_zxy的专栏
03-27 4989
现象描述 项目中仅在登录时使用https连接进行登录请求,登录成功会使用http访问服务器的其它资源。也就说从https连接切换到http。输入正确的用户和密码后总是跳转到登录页面,并没有跳转到主页面。debug了一下程序,发现在跳转到主页时,程序认为 request.getSession("userInfo") 获取的用户信息为 null,用户没有登录。而不适用https连接请求登录,输入正确
httphttps共存导致session丢失
搬山境KL攻城狮的修炼手册
11-25 1083
一、问题描述 使用tomcat部署应用时,同时启用httphttps,当用户先打开https://localhost:8443/,再将协议切换为http协议时http://localhost:8080/时,系统后台无法到获取登录页验证码(后台生成的验证码存储在session中)。 不切换httphttps时,无此问题,均可正常获取验证码。 二、原因 httphttps共存导致session丢失,session中存储的验证码自然也无法获取! 参考: 在HTTPHTTPS之间切换时,JSessi
计算机网络——HTTP
LiuXiaoXueer的博客
07-31 239
HTTP的报文结构 HTTP有两类报文:请求报文和响应报文。 它们的报文结构由三部分组成,分别为开始行、首部行和实体主体。 开始行:用于区分是请求报文还是响应报文。 首部行:用来说明浏览器、服务器和报文主体的一些信息 实体主体:在请求报文中一般都不用这个字段,响应报文中也可能没有这个字段 在请求报文中,开始行叫做请求行,“请求行”有三个内容,分别为方法、请求资源的URL,以及HTTP的版本 在响应报文中,开始行叫做状态行,“状态行”有三个内容,分别为HTTP的版本,状态码,以及解释状态码的简单短语 HTT
Https跳到httpsession信息丢失的分析及解决方案
java_veteran的专栏
01-20 594
我们在YMU(website monitoring)项目开发过程中发现一个关于登录功能的奇怪的问题。当按一般流程使用登录功能时是没问题的,即:点击官网 (http://YouMonitor.Us)的login链接,然后跳转到https://YouMonitor.Us/login.shtml,输入正确的用户名和密码后,则能正确转入功能页面(http协议)。而如果跳过第一步,直接在浏览器中输https...
计算机网络各层有哪些协议? TCP和UDP协议的区别? TCP为什么需要三次握手和四次挥手? HTTPHTTPS协议的区别? 计算机网络状态码都有哪些 ?cookiesession的区别 ?从浏览器输入ur发生了什么 ?MySQL的drop、 delete与truncate的区别?
06-01
HTTPHTTPS都是应用层协议,但是它们有以下区别: - HTTP是明文传输,HTTPS是加密传输。 - HTTP不提供身份验证和数据完整性保护,HTTPS提供身份验证和数据完整性保护。 - HTTP不需要证书,HTTPS需要证书。 5. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值