由php的get post request 想到的安全问题(二)https跟http ssl

最新推荐文章于 2022-03-26 12:53:14 发布
最新推荐文章于 2022-03-26 12:53:14 发布
阅读量421 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanglvmeng/article/details/24766385
版权

1、https的介绍

在URL前加https://前缀表明是用SSL加密的。你的电脑与服务器之间收发的信息传输将更加安全。 Web服务器启用SSL需要获得一个服务器证书并将该证书与要使用SSL的服务器绑定。 http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议 
要比http协议安全

HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议
它是一个安全通信通道,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版。
它是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。HTTPS实际上应用了Netscape的安全全套接字层(SSL)作为HTTP应用层的子层。(HTTPS使用端口443,而不是象HTTP那样使用端口80来和TCP/IP进行通信。)SSL使用40 位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证,如果需要的话用户可以确认发送者是谁。
HTTPS和HTTP的区别:
https协议需要到ca申请证书,一般免费证书很少,需要交费。
http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议
http和https使用的是完全不同的连接方式用的端口也不一样,前者是80,后者是443。
http的连接很简单,是无状态的
HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议 要比http协议安全
HTTPS解决的问题:
1 . 信任主机的问题. 采用https 的server 必须从CA 申请一个用于证明服务器用途类型的证书. 改证书只有用于对应的server 的时候,客户度才信任次主机. 所以目前所有的银行系统网站,关键部分应用都是https 的. 客户通过信任该证书,从而信任了该主机. 其实这样做效率很低,但是银行更侧重安全. 这一点对我们没有任何意义,我们的server ,采用的证书不管自己issue 还是从公众的地方issue, 客户端都是自己人,所以我们也就肯定信任该server.
2 . 通讯过程中的数据的泄密和被窜改
1. 一般意义上的https, 就是 server 有一个证书.
a) 主要目的是保证server 就是他声称的server. 这个跟第一点一样.
b) 服务端和客户端之间的所有通讯,都是加密的.
i. 具体讲,是客户端产生一个对称的密钥,通过server 的证书来交换密钥. 一般意义上的握手过程.
ii. 加下来所有的信息往来就都是加密的. 第三方即使截获,也没有任何意义.因为他没有密钥. 当然窜改也就没有什么意义了.
2. 少许对客户端有要求的情况下,会要求客户端也必须有一个证书.
a) 这里客户端证书,其实就类似表示个人信息的时候,除了用户名/密码, 还有一个CA 认证过的身份. 应为个人证书一般来说上别人无法模拟的,所有这样能够更深的确认自己的身份.
b) 目前少数个人银行的专业版是这种做法,具体证书可能是拿U盘作为一个备份的载体.
HTTPS 一定是繁琐的.
a) 本来简单的http协议,一个get一个response. 由于https 要还密钥和确认加密算法的需要.单握手就需要6/7 个往返.
i. 任何应用中,过多的round trip 肯定影响性能.
b) 接下来才是具体的http协议,每一次响应或者请求, 都要求客户端和服务端对会话的内容做加密/解密.
i. 尽管对称加密/解密效率比较高,可是仍然要消耗过多的CPU,为此有专门的SSL 芯片. 如果CPU 信能比较低的话,肯定会降低性能,从而不能serve 更多的请求.
ii. 加密后数据量的影响. 所以,才会出现那么多的安全认证提示

2、ssl(安全套接字层)

(1)ssl是一种协议,支持服务通过网络进行通信而不损害安全性。它在客户端和服务器之间创建一个安全连接。然后通过该连接安全地发送任意数据量。

(2)安全套接字层是用于服务器之上的一个加密系统,它可以确保在客户机与服务器之间传输的数据仍然是安全与隐密的。要使服务器和客户机使用 SSL 进行安全的通信,服务器必须有两样东西:
a 密钥对(Key pair) —— 一个密钥对包括一个 公钥和一个 私钥。这两个密钥用来对消息进行加密和解密,以确保在因特网上传输时的隐密性和机密性。
b 证书(Certificate) —— 证书用来进行 身份验证或者身份确认。证书可以是自签(self-signed)证书,也可以是颁发(issued)证书。自签证书是为自己私有的 Web 网络创建的证书。颁发证书是认证中心(certificate authority,CA)或者证书签署者提供(颁发)给您的证书。
(3)ssl认证过程【简单来说,就是用服务器证书的公司密钥对协商出一个对称密钥,然后用对称密钥进行加密】
web服务器申请证书,把csr文件提交给ca,ca签发证书(包括中级证书跟服务器证书)给web服务器。
a、客户机申请链接,包含自己可以实现的算法列表和其他信息
b、服务器回应链接,回应中确定本次通信所需要的算法,并发送自己的证书过去,证书中包含了自己的身份和公钥
c、客户端在收到消息后会生成一个私密消息clientkeyexchange(此消息处理后,将用做加密密钥),并用web服务器的公钥加密,传过去
d、服务器在用私钥解密秘密消息clientkeyexchange,并进行处理,生成加密密钥(会话密钥),会话密钥协商成功
e、客户端和服务器端都知道了会话密钥,并用此会话密钥进行数据加密。

本文参考:http://www.cnblogs.com/wxlzhizu/archive/2009/12/09/1620005.html


zhanglvmeng
关注
php 发送数据_PHP 使用 POST 方式向https发送数据请求
weixin_26945061的博客
03-09 695
要使用php发送post请求我们用到curl即可实现了,这个是最简单并且性能最好的一个请求方式,下面来看这个PHP 使用 POST 方式向https发送数据请求的例子。例子 代码如下 复制代码 $data = '{"type":"news", "offset":50, "count":20 }';$access_token = "0erCbg(此处省略112个字...
php的get post request 想到安全问题(一)
04-30 701
1、php中get、postrequest的区别: PHP中有$_REQUEST与$_POST、$_GET用于接受表单数据。 一、$_REQUEST与$_POST、$_GET的区别和特点 $_REQUEST[]具用$_POST[] $_GET[]的功能,但是$_REQUEST[]比较慢。通过POST和GET方法提交的所有数据都可以通过$_REQUEST数组获得。
php post请求后端拿不到值_php服务器能获取post请求的数值不能获取get请求的数值...
weixin_39980184的博客
12-21 597
JQuery——实现Ajax应用实现Ajax应用1 .load()异步请求数据,通过Ajax请求加载服务器中的数据,并把返回的数据放置到指定的元素中,调用格式为load(url,[data],[callback])2 参数url为加载服务器地址,可选项data参数为请求时发送的数据,callback参数为数...文章科技小能手2017-11-12770浏览量[IT]JSONP跨域的原理解析...
前端数据通过post请求提交到后端结果为null
SuperAE86的博客
03-16 4099
近来遇到个坑,也是自己大意的,就是tomcat版本的问题,目前我知道的就是7.0以前包括7.0的版本的maxPostSize不限制的设置是小于0,也就是传输大小的限制。但是现在我用的8.5的版本了,还是按照以前的在改server.xml,结果就把自己坑了。如果还是maxPostSize="0"的话,就代表限制post提交数据大小为0了,也就是没有提交数据,所以后端接收到...
前端发送POST请求,后端数据收到为null解决方案、@RequestBody注解的详细使用、content-type决定了发送什么类型的数据
热门推荐
qq_44660367的博客
10-21 2万+
前端通过POST请求发送数据,并且通过F12也可查看到具体数据,但后端数据接收到为null的情况。 前端是这样发送的数据 this.$axios .post('/books', { id: this.form.id, cover: this.form.cover, title: this.form.title, author: this.form.author, dat
php get post 安全性,由php的get post request 想到安全问题(一)
weixin_34889287的博客
03-21 609
概述:今天跟RD高工聊天,说到了get/post,进而延伸出了很多安全性的知识,现在总结如下:1、get、postrequest的区别;2、post安全性较高,如果想更高,可以使用https,进而又想到httpshttp的区别,其中包含了SSL的只是;3、单纯的https也是不够安全的,所以在登录的时候,会加一个登陆控件,其利用中间的算法,会进一步加密,提高安全等级;4、如果这时候有人对键盘...
JAVA http/https 实现get/post请求 带认证信息 同时忽略ssl认证方法
ldddd_的博客
03-20 3309
背景: 最近在做一个项目 前台需要调取平台api 但是直接调用会跨域 所以需要后台调取数据返回给前台 所以。。。。 先贴代码: /** * 发送远端GET请求的公共方法 * * @param url (远程请求的URL) * @param access_token (用户名 密码 选填) * @param acceptType( 接受的数据格式 ...
C/C++ HTTP,HTTPS实现GET和POST请求
weixin_41079531的博客
09-27 7347
C/C++ HTTP,HTTPS实现GET和POST请求 HTTP GET和POST 实现过程 HTTP协议是在TCP基础上,加上HTTP协议头实现的 #include <QCoreApplication> #include <qglobal.h> #include <stdio.h> #include <stdlib.h> #include &lt...
PHP中用CURL实现GET和POST请求
积善之家
03-26 1559
CURL 发送 GET 请求 functioncurl_get_request($url,$data=null){ if(is_array($data)){ $data=http_build_query($data); } $ch=curl_init(); curl_setopt($ch,CURLOPT_URL,$url); curl_setopt($ch,CURLOPT_HEADER,false);//不返回头部信息 if($data!=null){ ...
php中运用http调用的GET和POST方法示例
12-19
同时,为了提高安全性,可以考虑使用HTTPS并通过`CURLOPT_SSL_VERIFYPEER`和`CURLOPT_CAINFO`选项验证服务器证书。 总结起来,PHP中的cURL库提供了强大的功能,使得我们可以方便地进行HTTP调用,无论是GET还是POST...
使用PHP Socket 编程模拟Http post和get请求
10-25
本文将深入探讨如何使用PHP的Socket编程来模拟HTTP的GET和POST请求。我们将从一个PHP类开始,该类能够构建HTTP请求并处理响应,此外还将分享代码示例,并讨论其它PHP模拟HTTP请求的方法。 首先,PHP中模拟HTTP请求...
C++实现HTTP GET,POST请求
04-17
本篇文章将详细探讨如何使用C++来实现HTTP GET和POST请求,以及涉及HTTPS安全连接。 HTTP GET请求是HTTP协议中最基础的操作之一,主要用于从服务器获取资源。GET请求的所有参数都包含在URL中,因此它是透明且可...
http发送Get和Post请求工具类
10-30
在`HttpUtils`类中,为了处理HTTPS,可能还需要配置SSL证书,以解决安全套接层(SSL)或传输层安全(TLS)的问题。这包括创建`SSLSocketFactory`,信任所有的证书,以及设置到`HttpsURLConnection`上。 接下来,`...
PHP CURL HTTPS报错SSL certificate problem: unable to get local issuer certificate
small_whale的博客
12-24 658
起因:本地调用java接口返回无数据,但测试环境却是有数据的。 调试过程如下: 1,curl_getinfo—获取一个cURL连接资源句柄的信息。 Array ( [url] => https://grapserver.linkstars.com/goods/getSearch [content_type] => [http_code] =>...
基于JavaScript和微信小程序的安心食疗小程序设计源码
09-23
该项目是基于JavaScript和微信小程序的安心食疗小程序设计源码,包含99个文件,其中17个JavaScript源文件、12个WXML页面布局文件、13个WXSS样式表文件、17个JSON配置文件、24个PNG图片文件和16个JPG图片文件。适用于健康饮食领域的小程序开发。
计算机四级网络选择题目
09-23
题目有些标的答案,有些没有,大部分是用通义千问参考加答的,不保证全部正确。
ASP源码:大家帮网精品装修招标门户网站程序网站源码,网站系统模板源码73.rar
最新发布
09-23
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(随意编程),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助 【资源内容】:项目具体内容可查看/点击本页面下方的*资源详情*,包含完整源码+工程文件+说明(若有)等。【若无VIP,此资源可私信获取】 【本人专注IT领域】:有任何使用问题欢迎随时与我联系,我会及时解答,第一时间为您提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【适合场景】:相关项目设计中,皆可应用在项目开发、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面中 可借鉴此优质项目实现复刻,也可基于此项目来扩展开发出更多功能 #注 1. 本资源仅用于开源学习和技术交流。不可商用等,一切后果由使用者承担 2. 部分字体及插图等来自网络,若是侵权请联系删除,本人不对所涉及的版权问题或内容负法律责任。收取的费用仅用于整理和收集资料耗费时间的酬劳 3. 积分资源不提供使用问题指导/解答
vue3+springboot私家车位共享系统微信微信小程序[编号:CS_41791](1)源码数据库.zip
09-23
本文介绍了使用SpringBoot作为后端框架,Vue作为前端框架,MyBatis-Plus进行持久层开 。详细描述了系统测试的目的、功能测试案例,包括登录验证和用户管理,以及数据库设计。 前端:vue3 开发工具:IDEA 或者eclipse都支持 编程语言: java 框架:springboot/ssm都支持 jdk版本:jdk1.8以上均可 数据库: mysql 版本不限 数据库工具:Navicat/SQLyog都可以
基于C#的.NET通用后台角色权限管理系统设计源码
09-23
该项目是基于C#的.NET通用后台角色权限管理系统设计源码,包含337个文件,其中包括112个C#源文件、76个GIF图片文件、40个JavaScript脚本文件、33个Razor视图文件(.cshtml)、23个CSS样式表文件、15个配置文件(.config)、9个项目文件(.csproj)、4个TrueType字体文件(.ttf)、3个Embedded OpenType字体文件(.eot)、3个SVG矢量图形文件。该系统旨在为.NET平台提供灵活的角色权限管理解决方案。
请用php写出一个通用于get,post调用接口请求数据的安全方法
03-01
下面是一个通用于 GET 和 POST 请求的接口请求数据的安全方法的 PHP 代码示例: ```php function request($url, $data = array(), $method = 'GET') { $curl = curl_init(); $timeout = 30; $headers = array( ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值