web前端,進行資料請求的方式,一般是使用http的方式進行的,一般而言,http協議的傳輸是一種明文的方式進行傳輸。
前端向後端進行http請求,中間會經過各種各樣的閘道器、伺服器節點等,最終到達我們的目標伺服器。但是在這個中間的每個節點上,只要物件想獲取你的http的資訊,它是可以隨意的進行資料的劫持和篡改的!(這就是http進行明文傳輸的弊端),最後,服務端向你返回資料的時候,也是通過明文的方式是進行的。
所以,如果傳輸層的安全不能保證,那麼我們的xss、csrf的攻擊,我們的防禦就是一句空話。
分析:http被竊聽和篡改的唯一原因,就是http是明文傳輸的。所以我們應該對資料進行加密。
我們對http進行加密,加密的方式就是tls協議(傳輸層加密),tls在之前的叫法就是ssl。
但是也會有這樣的乙個問題:
瀏覽器———中間人————伺服器。
中間人可以解密瀏覽器的資訊,然後加密後傳送給伺服器。這樣也會受到http的竊聽和篡改風險。所以這個需要乙個非常重要的信任機制——ca證書機制。
解決方案,就是我們非常重要的信任機制。(ca證書機制)。
瀏覽器會有乙個ca證書列表,表示我們的**是安全的。伺服器需要向ca證書發布的機構進行證書申請。得到這個ca證書。那麼瀏覽器訪問你的**的時候,它就會向你的服務對比ca證書的信任情況,如果信任的**,它就會正常訪問。
ca證書必須保證安全的重要原則:
證書是無法偽造的。
證書私鑰不能被洩漏。
網域名稱管理權不能洩漏。
ca堅守原則。
通過這樣的一些機制,我們就能保證我們的http傳輸是安全的。
HTTP 確保Web安全的HTTPS
一.http的缺點 1.通訊使用明文 不加密 內容有可能會被竊聽 網際網路上任意角落都有可能存在通訊內容被竊聽的風險 1.1通訊的加密 http協議中沒有加密機制,但可以通過和ssl secue socket layer安全套接層 或tls transport layer security 安全傳輸...
Web安全實踐(2)基於http的web架構剖析
web安全實踐系列導航 安全技術區 前言 web安全實踐系列主要是對 黑客大 web應用安全機密與解決方案 第二版 的內容做的實踐研究和部分程式設計實現。所以如果您能完全理解那本書可以跳過本文章。正文 2.1確定目標 1 ping。這是最常規的方法,我們可以對已知網域名稱做該操作來獲得ip位址。3 ...
Web安全 Web通訊
協議 url http 統一資源定位符 uniform resource locator 支援多種協議 http ftp 定位伺服器的資源 schema host port path query string anchor schema 底層協議 如 http https ftp host 伺服器的...