一、简述HTTP协议
HTTP底层是TCP实现,TCP是一个可靠的传输层网络协议,但是可靠性不是安全性------可靠但不安全
1、为什么TCP可靠?UDP不可靠?
可靠指的是源和目标可以相互访问以及确保数据的传输顺序,我能通过IP+端口访问你主机进程,你也能通过我提供的IP+端口访问我的主机进程,这样才算建立了可靠的连接,也是握手的过程。
而UDP是没有建立握手的,我能通过伪造一个IP去访问你,UDP是不关心对方是否是真实的目标IP,哪怕反向访问访问不到。
2、HTTP的请求
它是单纯的文本格式请求,只能通过ascii码传输,其他字符比如汉字也会被转义成ascii的形式,比如"你好"会被转译成%E4%BD%A0%E5%A5%BD的ASCII码
它分为请求行、请求头、请求体三部分
bash
POST /submit HTTP/1.1 -- 请求行
Host: example.com -- 请求头
Content-Type: application/x-www-form-urlencoded charset=GBK
name=JohnDoe&age=30 -- 请求体消息头后需要添加一个完全没内容的空行,然后才是消息体
可以看出我用的字符集是GBK,要是不指定的话用GBK编码,服务器如果不指定就会使用默认UTF-8去解码导致乱码
3.请求方和响应方确认字符集
我给你发消息用的UTF-8,我不告诉你,你不知道用什么解码,因为字符被变成Ascii形式了,需要通过字符集解码,默认的都是UTF-8
比如在请求和响应头中都携带如下信息,就可以双方都明确字符集
Content-Type: application/json; charset=UTF-8
4.请求头、响应头、实体头
请求头是请求时使用的,响应头是响应时用的,而实体头则是都可以使用的,比如请求和响应中都可以指定Content-Type等头信息;
当然也可以自定义头部信息,比如加个abc: 123456,但是这种自定义头只能客户端服务端自定义规则解析后什么作用,所以它可以是请求头、响应头也可以是实体头,你自由发挥。
bash
POST /submit HTTP/1.1
Host: example.com
Content-Type: application/x-www-form-urlencoded charset=GBK
abc: 123456
name=JohnDoe&age=30 -- 请求体二、HTTPS协议简述
1、如何变得安全
废话,加密不就变得安全了。
的确它在建立连接时和传输数据时分别进行了加密操作,建立连接时用了非对称加密,服务器通过证书机制去颁发给客户端,客户端拿到公钥后加密连接请求发给服务端,服务端用私钥可以解密,那么OK,安全连接已经建立。
流程草图:
2.公钥私钥、会话密钥
公钥私钥是在建立连接时用的非对称加密的方式
会话密钥是在建立完连接后,后续都使用对称加密进行数据的客户端加密,服务端解密用
(对称加密就是加密解密密钥相同;非对称加密就是分公钥私钥,公钥交给用户,私钥不做公开,公钥加密的数据只能私钥解密,私钥加密的东西只能公钥解密,公钥加密的东西是用公钥解密不了的,相当于你和你朋友都有锁头,但是钥匙是交换的,你自己无法打开自己那把锁)
三、POST为什么比GET安全?
1.GET请求和POST的本质区别
GET请求是消息体不携带参数
POST是消息体携带参数
2.安全只是相对的,POST也不安全
由于GET请求是把参数加在消息行上,代理服务器、浏览器、服务器日志可能都会留下痕迹,因为它们大多数都会保留请求行,但是请求体的数据除非特殊设定,不然一般不会去存储它们,但是HTTPS形式下,请求会被全部加密,这种安全性和GET、POST无关,与其纠结GET、POST谁安全,不如上HTTPS。