HTTPS和HTTP2.0及同源策略

最新推荐文章于 2022-05-31 09:15:00 发布
最新推荐文章于 2022-05-31 09:15:00 发布
阅读量2.3k 收藏
点赞数
分类专栏: 计算机网络 文章标签: https http 网络协议 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48554146/article/details/122793344
版权

目录

HTTPS协议工作原理

HTTP2.0协议

同源策略

跨域几种解决办法

HTTPS可以保证网络传输环境的安全   (๑•̀ㅂ•́)و✧

HTTPS:应用层协议

HTTPS协议工作原理

HTTPS采用对称加密的方式加密传输的数据,对称加密的密钥,采用非对称加密的方式进行协商

  1. TCP协议三次握手,建立TCP协议
  2. 服务器利用TCP将证书发送给浏览器,证书里包含了公钥 (✿・ω・)/✉(//∇//)
  3. 浏览器通过本地ROOT CA验证网站证书
  4. 浏览器用证书的公钥加密:协商对称加密的算法和密码
  5. 服务器响应,确定对称加密算法和密码
  6. 会话建立(来往数据使用对称加密)

HTTP2.0协议

HTTPS协议的目的是解决HTTP协议的安全问题,HTTP2.0则是为了解决性能问题

HTTP1.1协议的Keep Alive让多个请求复用一个TCP连接,非多路复用。

  • 优点:节省TCP握手时间
  • 缺点:一个请求阻塞,其它请求也全都阻塞

HTTP2.0 使用多路复用,优点:一个请求阻塞了,其它请求依旧可以响应

HTTP2.0 还会对头部进行压缩 (HPACK算法)

头部压缩算法文章参考icon-default.png?t=M0H8https://segmentfault.com/a/1190000017011816

同源策略

定义:禁止一个源(origin)的脚本和文档与另一个源(origin)的脚本和文档交互

  • 两个URL的protocol,port,host相同,那么同源
  • 两个源产生过多交互会有以下问题

 思考

  • 为什么不禁用不同源的js?
    • 没有意义,js通常是拿到CDN上的
  • 是否允许不同源的js获取远程图片内容?
    • 不允许,远程拿过来的就不一定是图片了   |_・)   
    • PS:a.jpg?xxxx=id
  • 是否允许网站提交数据到不同源的服务器?
    • 不允许,用户信息可能泄露
  • 是否允许网站提交cookie到不同源的服务器?
    • 不允许,cookie里有用户的敏感信息

跨域几种解决办法

  • Jsonp

Jsonp跨域很简单,就是利用<script>标签没有跨域限制的“漏洞”(历史遗迹啊)来达到与第三方通讯的目的。当…https://www.zhihu.com/question/19966531

  • 跨域资源共用(CORS)

  • 代理:利用代理将不同源的资源代理到同源的资源

 

Greedy_2002
关注
专栏目录
HTTP2.0 相比 HTTP1.0、HTTP1.1 有哪些重大改进?值得升级更换吗?
程序员光剑
02-10 1万+
HTTP/2 是 Internet 工程任务组(IETF)对 HTTP 协议的最新更新。该协议是 HTTP/1.1(其于1999年起草)的后继协议。随着网络的发展,HTTP/2 是急需的更新。此更新带来了效率,安全性和速度方面的进步。HTTP/2 主要基于 Google 自己的协议 SPDY。HTTP/2 第一次出现并被讨论的时候,SPDY 正逐渐受到实现者(例如 Mozilla 和 nginx)的青睐时,并且被当成对 HTTP/1.x 的重大改进。
网络面经:HTTP 2.0的这些新特性,是时候了解一下了
yoyo31的博客
09-08 537
面试中关于HTTP 2.0的面试题并不多,但基于HTTP 2.0的应用已经很多了,比如谷歌的gRPC框架就是基于HTTP 2.0来提升效率的。同时,HTTP 1.0中的存在的很多缺陷也都在HTTP 2.0中得到了解决。 所以,如果你在面试中脱颖而出,同时,在实践中更好的理解类似gRPC这类框架的实现,了解HTTP 2.0还是非常必要的。而且HTTP 2.0也在很多场景下逐步替代HTTP 1.0。 HTTP 1.0存在的问题 了解过HTTP 1.0的协议实现之后,会发现它存在不少问题。 问题一:TCP
同源策略与跨域
热门推荐
mijichui2153的博客
11-21 1万+
前言:最近业务上前端同学多次联系说访问腾讯云cos资源的时候因为跨域的问题访问不到。大致看了下腾讯云关于设置跨域访问的教程,按照前端同学给的域名等选项就给配了,而且测试下来也是好的。但是呢一直不知道什么是跨域这里就做一个简单的学习记录。 一、同源策略 同源策略(Same Origin Policy)是一种约定,它是浏览器最核心也是最基本的安全功能。同源策略会阻止一个域的javascrip脚本和另一个域的内容进行交互,是用于隔离潜在恶意文件的关键安全机制;关于这一点我们后面会举例说明。...
httphttps的学习
冰雪为融的博客
08-05 314
1.httphttps (1)httphttps的基本概念 http: 超文本传输协议,是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。 https: 是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是S...
HTTP同源策略
星曦的博客
08-04 1453
同源策略是web安全策略中的一种,非常重要。 同源策略明确规定:不同域的客户端在没有明确授权的情况下,不能读写对方的资源。 简单说来就是web浏览器允许第一个页面的脚本访问访问第二个页面的数据,但是也只有在两个页面有相同的源的时候,如果不同源则需要授权。源:URI(统一资源标识符)、主机名、端口号组合而成的。这个策略可以阻止一个页面上恶意脚本通过页面DOM对象获得访问另一个页面的敏感信息的权限
HTTP CORS(HTTP-同源策略
SeriousLose
12-30 2604
同源策略 同源策略是一种约定,是浏览器的核心基本安全功能, 如果缺少同源策略,浏览器的正常功能会受到影响,web的所有功能是构建在同源策略的基础上的,浏览器只是针对同源策略的一种实现. 现在所有的浏览器都支持同源策略. 在前端开发工作中,经常会遇到同源策略问题,就是向服务器发送请求的时候,不在同一级域名或者不在相同端口或相同协议下. 域名 每一个网站都有自己的服务器,每个服务器都有一个IP地址,每个IP地址都会制定一个域名,域名有一级域名,二级域名,三级域名 http://a(三级域名).goo
http协议同源策略
qq_44648800的博客
09-04 1175
简述http协议同源策略 要同时满足以下三个条件: 协议相同; 域名相同; 端口号相同; 也可以协议、域名、端口号都不相同。不同源,就会产生“跨域” 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 ...
js同源策略详解
12-10
本文较为详细的分析了js同源策略。分享给大家供大家参考。具体如下: 概念:同源策略是客户端脚本(尤其是Javascript)的重要的安全度量标准。它最早出自Netscape Navigator2.0,其目的是防止某个文档或脚本从多个...
HTTP 2.0有什么新特性
weixin_42724176的博客
03-05 1789
HTTP 2.0有什么新特性 “只在此山中,云深不知处” 01 前言 今天看了一下腾讯微信的鹅厂卧谈会,主要是介绍校招/社招生如何利用自身的优势,或者如何准备面试的一些问题。我们知道社交的公司一般都会注重一些计算机网络的知识,毕竟涉及到实时传输、通讯等技术。 其中有一句话讲的很准确,校招生是不需要样样精通技术的,你可以选择一个你比较熟悉的领域或者你认真研究过的方向,一旦写上你精通某种技术,我...
http2.0入门基础
huzilinitachi的专栏
07-10 1086
HTTP 2.0协议 http2.0升级方面 1.改进http传输性能,实现低延迟和高吞吐量;同时满足http语义的向下兼容。 2.相对http1.1,满足大多数情况下用户的感知时延有实质、可量度的改进 3.解决http的 “队首阻塞”问题 4.并行操作不需要与服务器建立多个连接,改善tcp的利用率 5.保持对http1.1语义的兼容 6.规定http2.0与http1.x之间的...
前端必备HTTP技能之同源策略详解
Catie
09-09 937
同源策略在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时。源是由URI,主机名,端口号组合而成的。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的权限。 对于普遍依赖于cookie维护授权用户session的现代浏览器来说,这种机制有特殊意义。客户端必须在不同站点提
http https http2.0
Lakeson
01-05 317
目录 HTTP概述 HTTP的历史 HTTP的基本优化 HTTP1.1 对比 HTTP1.0 HTTP2.0和HTTP1.X相比的新特性 HTTPSHTTP的一些区别 服务器推送是什么 HTTP存在的位置 HTTP特点 HTTP的缺点 方法种类 GET和POST的区别 服务端收到不支持的方法会如何处理 HTTP状态码 HTTP概述 设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法,它是一个基于 TCP/IP 通信协议来传输数据的应用层协议。 「HTTP
同源策略及解决办法
技术交流
05-18 1万+
1、跨域来由 1.1 同源策略 一种约定,是浏览器最核心也最基本的安全功能。保证用户信息的安全,防止恶意的网站窃取数据。 1.1.1 背景 如上图所示: 用户登录shopA商城A之后,继续浏览到shopB,这时如果商城B可以拿到商城A的Cookie信息,就会泄露用户的相关隐私信息,也有可能被他人非法使用,甚至破坏等等。 1.1.2 含义: 同源策略需要同时满足以下三点要求: 1
http你不得不知道的那些事(一)--同源策略(1)
毛瑞彬的博客
10-25 643
前段时间详细的学习了一下http相关的东西,特别是看了http权威指南,感觉收获良多,在未来的一段时间我将把自己所学到的相关东西分享出来,先捡重要的(我自认为的)来说。本章讲述同源策略,希望对大家有所帮助。   基本上每个从事过网络编程,接触过浏览器的程序员都知道浏览器的同源策略。但是深究一下就不一定有很多人知道这是个什么东西了,只是囫囵吞枣的知道不准非同域的请求,知道部分解决方法,例
计算机网络-17】HTTPSHTTP2.0
飞鸽FlyGo-把自己作为一款产品来打磨,提升产品的体验,锻造出最好的自己。
05-31 939
HTTPS可以保证网络传输环境的安全。 HTTPS采用对称加密的方式加密传输的数据,然后对称加密的秘钥,采用非对称加密的方式进行协商。 TCP协议三次握手,建立TCP连接 服务器利用TCP将证书发送给浏览器 浏览器通过本地Root CA验证网站证书 浏览器用证书的公钥加密:协商对称加密的算法和密码 服务器响应,确定对称加密算法和密码 会话建立(来往数据使用对称加密)
Http同源策略与跨域方法
calm_encode的博客
06-09 1221
一 概述 同源策略是web安全策略中的一种,也是非常重要的一种,同源策略明确规定了不同域的客户端在没有被明确的授权的情况下,不能读写对方的资源。、 二 同源分析 同源是指请求的URI(统一资源标识符),网络协议,主机名(域名),端口号相同。但是IE浏览器同源不包括端口号。 例如URL:http://www.example.com:8080/test/index.html,分析一下几种同源情况: URL 是否同源 结果分析 http://www.example.com:8080/te
网络安全基础——10.Web工作机制
slismy的博客
08-06 331
网络安全基础——10.Web工作机制Web 工作机制 Web 工作机制 我们学习渗透测试,主要是针对Web应用,所以要对Web架构有一定的了解。 网址: ·本地缓存 ·host ·IP/AIP ·DNS ·IP ·网关 ·路由
HTTPHTTPS
qq_43539854的博客
04-14 2718
这是我做的一个基于UmiJS的任务待办桌面应用,欢迎大家给我star 这是我做的一个博客管理系统,该系统在路由拦截这一块的做的非常好,欢迎大家star
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值