HTTP、HTTPS区别可靠性及POST为什么比GET安全的探讨

一、简述HTTP协议

HTTP底层是TCP实现,TCP是一个可靠的传输层网络协议,但是可靠性不是安全性------可靠但不安全

1、为什么TCP可靠?UDP不可靠?

可靠指的是源和目标可以相互访问以及确保数据的传输顺序,我能通过IP+端口访问你主机进程,你也能通过我提供的IP+端口访问我的主机进程,这样才算建立了可靠的连接,也是握手的过程。

而UDP是没有建立握手的,我能通过伪造一个IP去访问你,UDP是不关心对方是否是真实的目标IP,哪怕反向访问访问不到。

2、HTTP的请求

它是单纯的文本格式请求,只能通过ascii码传输,其他字符比如汉字也会被转义成ascii的形式,比如"你好"会被转译成%E4%BD%A0%E5%A5%BD的ASCII码

它分为请求行、请求头、请求体三部分

bash 复制代码
POST /submit HTTP/1.1   -- 请求行
Host: example.com       -- 请求头
Content-Type: application/x-www-form-urlencoded charset=GBK

name=JohnDoe&age=30     -- 请求体

消息头后需要添加一个完全没内容的空行,然后才是消息体

可以看出我用的字符集是GBK,要是不指定的话用GBK编码,服务器如果不指定就会使用默认UTF-8去解码导致乱码

3.请求方和响应方确认字符集

我给你发消息用的UTF-8,我不告诉你,你不知道用什么解码,因为字符被变成Ascii形式了,需要通过字符集解码,默认的都是UTF-8

比如在请求和响应头中都携带如下信息,就可以双方都明确字符集

Content-Type: application/json; charset=UTF-8

4.请求头、响应头、实体头

请求头是请求时使用的,响应头是响应时用的,而实体头则是都可以使用的,比如请求和响应中都可以指定Content-Type等头信息;

当然也可以自定义头部信息,比如加个abc: 123456,但是这种自定义头只能客户端服务端自定义规则解析后什么作用,所以它可以是请求头、响应头也可以是实体头,你自由发挥。

bash 复制代码
POST /submit HTTP/1.1   
Host: example.com      
Content-Type: application/x-www-form-urlencoded charset=GBK
abc: 123456

name=JohnDoe&age=30     -- 请求体

二、HTTPS协议简述

1、如何变得安全

废话,加密不就变得安全了。

的确它在建立连接时和传输数据时分别进行了加密操作,建立连接时用了非对称加密,服务器通过证书机制去颁发给客户端,客户端拿到公钥后加密连接请求发给服务端,服务端用私钥可以解密,那么OK,安全连接已经建立。

流程草图:

2.公钥私钥、会话密钥

公钥私钥是在建立连接时用的非对称加密的方式

会话密钥是在建立完连接后,后续都使用对称加密进行数据的客户端加密,服务端解密用

(对称加密就是加密解密密钥相同;非对称加密就是分公钥私钥,公钥交给用户,私钥不做公开,公钥加密的数据只能私钥解密,私钥加密的东西只能公钥解密,公钥加密的东西是用公钥解密不了的,相当于你和你朋友都有锁头,但是钥匙是交换的,你自己无法打开自己那把锁)

三、POST为什么比GET安全?

1.GET请求和POST的本质区别

GET请求是消息体不携带参数

POST是消息体携带参数

2.安全只是相对的,POST也不安全

由于GET请求是把参数加在消息行上,代理服务器、浏览器、服务器日志可能都会留下痕迹,因为它们大多数都会保留请求行,但是请求体的数据除非特殊设定,不然一般不会去存储它们,但是HTTPS形式下,请求会被全部加密,这种安全性和GET、POST无关,与其纠结GET、POST谁安全,不如上HTTPS。

相关推荐
安全系统学习5 小时前
【网络安全】Mysql注入中锁机制
安全·web安全·网络安全·渗透测试·xss
隆里卡那唔7 小时前
在dify中通过http请求neo4j时为什么需要将localhost变为host.docker.internal
http·docker·neo4j
charlee447 小时前
nginx部署发布Vite项目
nginx·性能优化·https·部署·vite
~山有木兮8 小时前
LiteHub中间件之限流实现
网络·http·中间件
深圳安锐科技有限公司9 小时前
深圳安锐科技发布国内首款4G 索力仪!让斜拉桥索力自动化监测更精准高效
运维·安全·自动化·自动化监测·人工监测·桥梁监测·索力监测
潘锦9 小时前
海量「免费」的 OPENAI KEY,你敢用吗?
安全·openai
冰橙子id9 小时前
linux系统安全
linux·安全·系统安全
游戏开发爱好者810 小时前
iOS App首次启动请求异常调试:一次冷启动链路抓包与初始化流程修复
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_9151063210 小时前
频繁迭代下完成iOS App应用上架App Store:一次快速交付项目的完整回顾
websocket·网络协议·tcp/ip·http·网络安全·https·udp
上海锝秉工控11 小时前
防爆拉线位移传感器:工业安全的“隐形守护者”
大数据·人工智能·安全