web是通過(guò)什么協(xié)議來(lái)進(jìn)行信息傳送的？

web是通過(guò)什么協(xié)議來(lái)進(jìn)行信息傳送的？

web使用“HTTP”或“HTTPS”協(xié)議進(jìn)行信息傳送。

HTTP

超文本傳輸協(xié)議（Hypertext Transfer Protocol，HTTP）是一個(gè)簡(jiǎn)單的請(qǐng)求-響應(yīng)協(xié)議，它通常運(yùn)行在TCP之上。它指定了客戶(hù)端可能發(fā)送給服務(wù)器什么樣的消息以及得到什么樣的響應(yīng)。請(qǐng)求和響應(yīng)消息的頭以ASCII形式給出；而消息內(nèi)容則具有一個(gè)類(lèi)似MIME的格式。這個(gè)簡(jiǎn)單模型是早期Web成功的有功之臣，因?yàn)樗归_(kāi)發(fā)和部署非常地直截了當(dāng)。

HTTP的缺點(diǎn)：

HTTP雖然使用極為廣泛, 但是卻存在不小的安全缺陷, 主要是其數(shù)據(jù)的明文傳送和消息完整性檢測(cè)的缺乏, 而這兩點(diǎn)恰好是網(wǎng)絡(luò)支付, 網(wǎng)絡(luò)交易等新興應(yīng)用中安全方面最需要關(guān)注的。

關(guān)于 HTTP的明文數(shù)據(jù)傳輸, 攻擊者最常用的攻擊手法就是網(wǎng)絡(luò)嗅探, 試圖從傳輸過(guò)程當(dāng)中分析出敏感的數(shù)據(jù), 例如管理員對(duì) Web 程序后臺(tái)的登錄過(guò)程等等, 從而獲取網(wǎng)站管理權(quán)限, 進(jìn)而滲透到整個(gè)服務(wù)器的權(quán)限。即使無(wú)法獲取到后臺(tái)登錄信息, 攻擊者也可以從網(wǎng)絡(luò)中獲取普通用戶(hù)的隱秘信息, 包括手機(jī)號(hào)碼, 身份證號(hào)碼, 信用卡號(hào)等重要資料, 導(dǎo)致嚴(yán)重的安全事故。進(jìn)行網(wǎng)絡(luò)嗅探攻擊非常簡(jiǎn)單, 對(duì)攻擊者的要求很低。使用網(wǎng)絡(luò)發(fā)布的任意一款抓包工具, 一個(gè)新手就有可能獲取到大型網(wǎng)站的用戶(hù)信息。

另外,HTTP在傳輸客戶(hù)端請(qǐng)求和服務(wù)端響應(yīng)時(shí), 唯一的數(shù)據(jù)完整性檢驗(yàn)就是在報(bào)文頭部包含了本次傳輸數(shù)據(jù)的長(zhǎng)度, 而對(duì)內(nèi)容是否被篡改不作確認(rèn)。 因此攻擊者可以輕易的發(fā)動(dòng)中間人攻擊, 修改客戶(hù)端和服務(wù)端傳輸?shù)臄?shù)據(jù), 甚至在傳輸數(shù)據(jù)中插入惡意代碼, 導(dǎo)致客戶(hù)端被引導(dǎo)至惡意網(wǎng)站被植入木馬。

HTTPS

HTTPS （全稱(chēng)：Hyper Text Transfer Protocol over SecureSocket Layer），是以安全為目標(biāo)的 HTTP 通道，在HTTP的基礎(chǔ)上通過(guò)傳輸加密和身份認(rèn)證保證了傳輸過(guò)程的安全性。HTTPS 在HTTP 的基礎(chǔ)下加入SSL，HTTPS 的安全基礎(chǔ)是 SSL，因此加密的詳細(xì)內(nèi)容就需要 SSL。 HTTPS 存在不同于 HTTP 的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層（在 HTTP與 TCP 之間）。這個(gè)系統(tǒng)提供了身份驗(yàn)證與加密通訊方法。它被廣泛用于萬(wàn)維網(wǎng)上安全敏感的通訊，例如交易支付等方面。

HTTPS 協(xié)議是由 HTTP 加上 TLS/SSL 協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，主要通過(guò)數(shù)字證書(shū)、加密算法、非對(duì)稱(chēng)密鑰等技術(shù)完成互聯(lián)網(wǎng)數(shù)據(jù)傳輸加密，實(shí)現(xiàn)互聯(lián)網(wǎng)傳輸安全保護(hù)。設(shè)計(jì)目標(biāo)主要有三個(gè)。

（1）數(shù)據(jù)保密性：保證數(shù)據(jù)內(nèi)容在傳輸?shù)倪^(guò)程中不會(huì)被第三方查看。就像快遞員傳遞包裹一樣，都進(jìn)行了封裝，別人無(wú)法獲知里面裝了什么 。

（2）數(shù)據(jù)完整性：及時(shí)發(fā)現(xiàn)被第三方篡改的傳輸內(nèi)容。就像快遞員雖然不知道包裹里裝了什么東西，但他有可能中途掉包，數(shù)據(jù)完整性就是指如果被掉包，我們能輕松發(fā)現(xiàn)并拒收。

（3）身份校驗(yàn)安全性：保證數(shù)據(jù)到達(dá)用戶(hù)期望的目的地。就像我們郵寄包裹時(shí)，雖然是一個(gè)封裝好的未掉包的包裹，但必須確定這個(gè)包裹不會(huì)送錯(cuò)地方，通過(guò)身份校驗(yàn)來(lái)確保送對(duì)了地方。