web是通過什么協(xié)議來進(jìn)行信息傳送的？

web是通過什么協(xié)議來進(jìn)行信息傳送的？

web使用“HTTP”或“HTTPS”協(xié)議進(jìn)行信息傳送。

HTTP

超文本傳輸協(xié)議（Hypertext Transfer Protocol，HTTP）是一個簡單的請求-響應(yīng)協(xié)議，它通常運(yùn)行在TCP之上。它指定了客戶端可能發(fā)送給服務(wù)器什么樣的消息以及得到什么樣的響應(yīng)。請求和響應(yīng)消息的頭以ASCII形式給出；而消息內(nèi)容則具有一個類似MIME的格式。這個簡單模型是早期Web成功的有功之臣，因為它使開發(fā)和部署非常地直截了當(dāng)。

HTTP的缺點：

HTTP雖然使用極為廣泛, 但是卻存在不小的安全缺陷, 主要是其數(shù)據(jù)的明文傳送和消息完整性檢測的缺乏, 而這兩點恰好是網(wǎng)絡(luò)支付, 網(wǎng)絡(luò)交易等新興應(yīng)用中安全方面最需要關(guān)注的。

關(guān)于 HTTP的明文數(shù)據(jù)傳輸, 攻擊者最常用的攻擊手法就是網(wǎng)絡(luò)嗅探, 試圖從傳輸過程當(dāng)中分析出敏感的數(shù)據(jù), 例如管理員對 Web 程序后臺的登錄過程等等, 從而獲取網(wǎng)站管理權(quán)限, 進(jìn)而滲透到整個服務(wù)器的權(quán)限。即使無法獲取到后臺登錄信息, 攻擊者也可以從網(wǎng)絡(luò)中獲取普通用戶的隱秘信息, 包括手機(jī)號碼, 身份證號碼, 信用卡號等重要資料, 導(dǎo)致嚴(yán)重的安全事故。進(jìn)行網(wǎng)絡(luò)嗅探攻擊非常簡單, 對攻擊者的要求很低。使用網(wǎng)絡(luò)發(fā)布的任意一款抓包工具, 一個新手就有可能獲取到大型網(wǎng)站的用戶信息。

另外,HTTP在傳輸客戶端請求和服務(wù)端響應(yīng)時, 唯一的數(shù)據(jù)完整性檢驗就是在報文頭部包含了本次傳輸數(shù)據(jù)的長度, 而對內(nèi)容是否被篡改不作確認(rèn)。 因此攻擊者可以輕易的發(fā)動中間人攻擊, 修改客戶端和服務(wù)端傳輸?shù)臄?shù)據(jù), 甚至在傳輸數(shù)據(jù)中插入惡意代碼, 導(dǎo)致客戶端被引導(dǎo)至惡意網(wǎng)站被植入木馬。

HTTPS

HTTPS （全稱：Hyper Text Transfer Protocol over SecureSocket Layer），是以安全為目標(biāo)的 HTTP 通道，在HTTP的基礎(chǔ)上通過傳輸加密和身份認(rèn)證保證了傳輸過程的安全性。HTTPS 在HTTP 的基礎(chǔ)下加入SSL，HTTPS 的安全基礎(chǔ)是 SSL，因此加密的詳細(xì)內(nèi)容就需要 SSL。 HTTPS 存在不同于 HTTP 的默認(rèn)端口及一個加密/身份驗證層（在 HTTP與 TCP 之間）。這個系統(tǒng)提供了身份驗證與加密通訊方法。它被廣泛用于萬維網(wǎng)上安全敏感的通訊，例如交易支付等方面。

HTTPS 協(xié)議是由 HTTP 加上 TLS/SSL 協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，主要通過數(shù)字證書、加密算法、非對稱密鑰等技術(shù)完成互聯(lián)網(wǎng)數(shù)據(jù)傳輸加密，實現(xiàn)互聯(lián)網(wǎng)傳輸安全保護(hù)。設(shè)計目標(biāo)主要有三個。

（1）數(shù)據(jù)保密性：保證數(shù)據(jù)內(nèi)容在傳輸?shù)倪^程中不會被第三方查看。就像快遞員傳遞包裹一樣，都進(jìn)行了封裝，別人無法獲知里面裝了什么 。

（2）數(shù)據(jù)完整性：及時發(fā)現(xiàn)被第三方篡改的傳輸內(nèi)容。就像快遞員雖然不知道包裹里裝了什么東西，但他有可能中途掉包，數(shù)據(jù)完整性就是指如果被掉包，我們能輕松發(fā)現(xiàn)并拒收。

（3）身份校驗安全性：保證數(shù)據(jù)到達(dá)用戶期望的目的地。就像我們郵寄包裹時，雖然是一個封裝好的未掉包的包裹，但必須確定這個包裹不會送錯地方，通過身份校驗來確保送對了地方。