HTTP 和 HTTPS

一、HTTP 介绍

1.1 HTTP大概版本区别

下面见到介绍一个几个版本的区别，管道机制的对比。

• 0.9 版本。仅支持GET，服务端只能回应HTML格式字符串，发送完毕就关闭TCP链接

• 1.0 版本。加入了POST、HEAD请求，增加请求头

• 1.1 版本。持久链接connect：keep-alive，管道机制，分块传输，增加host

• 2.0 版本。多工，头信息压缩，服务器自推送，无状态

下面是管道机制与非管道机制的对别

管道机制

1.2 HTTP 请求方法

HTTP中定义了GET、POST、PUT、DELETE、HEAD、TRACE、OPTIONS、CONNECT、PATCH等九种请求方法。

• GET 请求指定的页面信息，并返回实体主体。

• POST 向指定资源提交数据进行处理请求（例如提交表单或者上传文件）。数据被包含在请求体中。POST 请求可能会导致新的资源的建立和/或已有资源的修改。

• PUT 从客户端向服务器传送的数据取代指定的文档的内容。

• DELETE 请求服务器删除指定的页面。

• HEAD 类似于 GET 请求，只不过返回的响应中没有具体的内容，用于获取报头

• TRACE 回显服务器收到的请求，主要用于测试或诊断。

• OPTIONS 允许客户端查看服务器的性能。

• CONNECT HTTP/1.1 协议中预留给能够将连接改为管道方式的代理服务器。

• PATCH 是对 PUT 方法的补充，用来对已知资源进行局部更新 。

项目中最常用的就是GET和POST请求，这里再来分析一下GET和POST的区别：

1、GET参数通过URL传递，POST放在Request body中。

2、GET请求会被浏览器主动cache，而POST不会，除非手动设置。

3、GET请求参数会被完整保留在浏览器历史记录里，而POST中的参数不会被保留。

4、Get 请求中有非 ASCII 字符，会在请求之前进行转码，POST不用，因为POST在Request body中，通过 MIME，也就可以传输非 ASCII 字符。

5、 一般我们在浏览器输入一个网址访问网站都是GET请求

6、HTTP的底层是TCP/IP。HTTP只是个行为准则，而TCP才是GET和POST怎么实现的基本。GET/POST都是TCP链接。GET和POST能做的事情是一样一样的。但是请求的数据量太大对浏览器和服务器都是很大负担。所以业界有了不成文规定，（大多数）浏览器通常都会限制url长度在2K个字节，而（大多数）服务器最多处理64K大小的url。

7、GET产生一个TCP数据包；POST产生两个TCP数据包。对于GET方式的请求，浏览器会把http header和data一并发送出去，服务器响应200（返回数据）；而对于POST，浏览器先发送header，服务器响应100 continue，浏览器再发送data，服务器响应200 ok（返回数据）。

8、在网络环境好的情况下，发一次包的时间和发两次包的时间差别基本可以无视。而在网络环境差的情况下，两次包的TCP在验证数据包完整性上，有非常大的优点。但并不是所有浏览器都会在POST中发送两次包，Firefox就只发送一次。

1.3 HTTP缺点

1、通信使用明文传输，内容可能被监听。自行对数据加密的话只能对请求体加密，不能对整个请求加密，

2、不验证通讯方的身份，因此可能遭遇伪装

3、无法验证报文的完整性，有可能遭到篡改

二、HTTPS

为了解决以上1.3中HTTP的缺点，出现了HTTPS。所以HTTPS是对HTTP的补充，基于HTTP协议，通过SSL或TLS提供加密处理数据、验证对方身份以及数据完整性保护。

2.1 HTTPS优缺点

优点

1、通过证书认证客户端和服务器身份，保证安全。

2、通信内容会被加密，保证了数据安全。

3、由于安全性得到较高保障，所以未来可能在搜索引擎的表现会更好。

4、防止网站被劫持或者镜像等恶意操作。

缺点

1、在通信过程中加入加密阶段，影响效率。

2、成本较高，因为HTTPS所需要的证书通常不是免费的。

2.2 加密方式

对称加密：对称加密加解密秘钥相同。

非对称加密：非对称加密使用一对秘钥，一个用来加密，一个用来解密，而且公钥是公开的，秘钥是自己保存的，不需要像对称加密那样在通信之前要先同步秘钥。非对称加密与，其安全性更好。

数字摘要：像开发常用的MD5，就是数字摘要算法。严格来说不属于加密算法。信息不可还原。

效率方面：同等条件下，对称加密效率更高，非对称加密效率会低一点。

安全性方面：来说对称加密的话，秘钥在网络传输中如果被窃取到，那加密内容可以和容易被破解，但是非对称加密通过一对秘钥来保证安全，私钥由一方自己保管，无需传输，安全性相对较高

在HTTPS中采用的加密方式是，用非对称加密方案对对称加密的秘钥进行加密，有点绕，可以理解为数据传输过程为了保证效率采用的是对称加密。为了保证对称加密秘钥不被窃取，又采用了非对称加密方案对"对称加密秘钥"加密。

2.3 HTTPS建立链接过程

1、 client向server发送请求，发送的信息主要是随机值1和客户端支持的加密算法。

2、 server接收到信息之后给予client响应握手信息，包括随机值2和匹配好的协商加密算法，这个加密算法一定是client发送给server加密算法的子集。

3、 随即server给client发送第二个响应报文是数字证书。服务端必须要有一套数字证书，可以自己制作，也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出提示页面，这套证书其实就是一对公钥和私钥。传送证书，这个证书其实就是公钥，只是包含了很多信息，如证书的颁发机构，过期时间、服务端的公钥，第三方证书认证机构(CA)的签名，服务端的域名信息等内容。

4、 客户端解析证书，这部分工作是由客户端的TLS来完成的，首先会验证公钥是否有效，比如颁发机构，过期时间等等，如果发现异常，则会弹出一个警告框，提示证书存在问题。如果证书没有问题，那么就生成一个随即值（预主秘钥）。

5、 客户端认证证书通过之后，接下来是通过随机值1、随机值2和预主秘钥组装会话秘钥。然后通过证书的公钥加密会话秘钥。

6、 传送加密信息，这部分传送的是用证书加密后的预主秘钥，目的就是让服务端使用秘钥解密得到预主秘钥。

7、 服务端解密得到预主秘钥，然后和随机值1、随机值2组装会话秘钥，跟客户端会话秘钥相同。

8、客户端通过会话秘钥加密一条消息发送给服务端，主要验证服务端是否正常接受客户端加密的消息。

9、同样服务端也会通过会话秘钥加密一条消息回传给客户端，如果客户端能够正常接受的话表明SSL层连接建立完成了。

2.4 中间人攻击

中间人攻击（MITM攻击）是指，黑客拦截并篡改网络中的通信数据。又分为被动MITM和主动MITM，被动MITM只窃取通信数据而不修改，而主动MITM不但能窃取数据，还会篡改通信数据。最常见的中间人攻击常常发生在公共wifi或者公共路由上。

2.5 如何避免中间人攻击