HTTP和HTTPS协议工作原理及安全性全面解析

HTTP协议是 超文本传输协议 的缩写，英文是Hyper Text Transfer Protocol。它是从WEB服务器传输超文本标记语言(HTML)到本地浏览器的传送协议。目前广泛使用的是HTTP/1.1版本。

工作原理

HTTP是一个基于TCP/IP通信协议来传递数据的协议，传输的数据类型为HTML 文件,、图片文件, 查询结果等。

http的特点：

• http协议支持客户端/服务端模式，也是一种请求/响应模式的协议。
• 简单快速：客户向服务器请求服务时，只需传送请求方法和路径。请求方法常用的有GET、HEAD、POST。
• 灵活：HTTP允许传输任意类型的数据对象。传输的类型由Content-Type加以标记。
• 无连接：限制每次连接只处理一个请求。服务器处理完请求，并收到客户的应答后，即断开连接，但是却不利于客户端与服务器保持会话连接，为了弥补这种不足，产生了两项记录http状态的技术，一个叫做Cookie,一个叫做Session。
• 无状态：无状态是指协议对于事务处理没有记忆，后续处理需要前面的信息，则必须重传。

URL：统一资源定位符将从因特网获取信息的五个基本元素包括在一个简单的地址中，以 http://www.luffycity.com:80/news/index.html?id=250\&page=1 为例, 其中：

• http，是协议；
• http://www.luffycity.com，是服务器；
• 80，是服务器上的默认网络端口号，默认不显示；
• /news/index.html，是路径（URI：直接定位到对应的资源）；
• ?id=250&page=1，是查询。

URL标示了一个具体的资源位置。互联网上的每个文件都有一个唯一的URL。

在浏览器地址栏键入URL，按下回车之后会经历以下流程：

1. 浏览器向 DNS 服务器请求解析该 URL 中的域名所对应的 IP 地址;
2. 解析出 IP 地址后，根据该 IP 地址和默认端口 80，和服务器建立TCP连接;
3. 浏览器发出读取文件(URL 中域名后面部分对应的文件)的HTTP 请求，该请求报文作为 TCP 三次握手的第三个报文的数据发送给服务器;
4. 服务器对浏览器请求作出响应，并把对应的 html 文本发送给浏览器;
5. 释放 TCP连接;
6. 浏览器将该 html 文本并显示内容;

HTTP报文格式

• 请求报文

1. 请求行：包括请求方法、URL、协议/版本
2. 请求头(Request Header)
3. 请求正文

常见的请求方法：

• GET: 请求指定的页面信息，并返回实体主体。
• POST: 向指定资源提交数据进行处理请求（例如提交表单或者上传文件）。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。
• HEAD: 类似于get请求，只不过返回的响应中没有具体的内容，用于获取报头
• PUT: 从客户端向服务器传送的数据取代指定的文档的内容。
• DELETE: 请求服务器删除指定的页面。

GET和POST的区别：

1. GET提交的数据会放在URL之后，以?分割URL和传输数据，参数之间以&相连，如EditPosts.aspx?name=test1&id=123456. POST方法是把提交的数据放在HTTP包的Body中；
2. GET提交的数据大小有限制（因为浏览器对URL的长度有限制），而POST方法提交的数据没有限制；
3. GET方式提交数据，会带来安全问题，比如一个登录页面，通过GET方式提交数据时，用户名和密码将出现在URL上，如果页面可以被缓存或者其他人可以访问这台机器，就可以从历史记录获得该用户的账号和密码。

• 响应报文

1. 状态行
2. 响应头
3. 响应正文

状态代码有三位数字组成，第一个数字定义了响应的类别，共分五种类别:

• 1xx：指示信息--表示请求已接收，继续处理
• 2xx：成功--表示请求已被成功接收、理解、接受
• 3xx：重定向--要完成请求必须进行更进一步的操作
• 4xx：客户端错误--请求有语法错误或请求无法实现
• 5xx：服务器端错误--服务器未能实现合法的请求

常见状态码：

• 200 OK //客户端请求成功
• 400 Bad Request //客户端请求有语法错误，不能被服务器所理解
• 401 Unauthorized //请求未经授权，这个状态代码必须和WWW-Authenticate报头域一起使用
• 403 Forbidden //服务器收到请求，但是拒绝提供服务
• 404 Not Found //请求资源不存在，eg：输入了错误的URL
• 500 Internal Server Error //服务器发生不可预期的错误
• 503 Server Unavailable //服务器当前不能处理客户端的请求，一段时间后可能恢复正常

Cookie

由于HTTP是一种无状态的协议，服务器但从网络连接上无从知道用户的身份。怎么办呢？就给客户发一个通行证吧，每人一个，无论谁访问都必须携带自己的通行证。这样服务器就能从通行证上确认客户的身份了。这就是Cookie的工作原理。

Cookie实际上是一小段的文本信息。客户端请求服务器，如果服务器需要记录该用户状态，就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再次请求该网站时，浏览器把请求的网址连同该Cookie一同发送给服务器。服务器检查该Cookie，以此来辨别用户状态。服务器还可以根据需要修改Cookie的内容。

HTTPS

HTTPS 协议（HyperText Transfer Protocol over Secure Socket Layer）是身披SSL外壳的HTTP，可以理解为HTTP+SSL/TLS， 即 HTTP 层外包了 SSL 层，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL，用于安全的 HTTP 数据传输。

HTTP 访问过程如下，客户端与服务器之间没有任何身份确认的过程，数据全部明文传输，所以很容易遭到黑客的攻击，客户端发出的请求很容易被黑客截获，如果此时黑客冒充服务器，则其可返回任意信息给客户端，而不被客户端察觉。

• 窃听风险：黑客可以获知通信内容。
• 篡改风险：黑客可以修改通信内容。
• 冒充风险：黑客可以冒充他人身份参与通信。

在实际开发和测试中，使用抓包工具如 Sniffmaster 可以帮助监控和分析 HTTPS 流量，识别安全威胁并加强应用防护。

由于HTTP传输的数据没有安全保障，人们提出了数据加密的构想，一般加密分为两种方式：对称加密和非对称加密。

HTTPS采用了非对称和对称加密相结合的方式，对称加密两边需要使用相同的密钥，需要使用一种安全的方式交换密钥，单纯使用对称加密，无法实现密钥交换；只使用非对称加密是可以满足安全性要求的，但是由于非对称加密的计算耗时高于对称加密的2-3个数量级（相同安全加密级别），所以才先使用非对称交换密钥，之后再使用对称加密通信。并且利用SSL证书确认公钥的正确性，客户端在接受到服务端发来的SSL证书时，会对证书的真伪进行校验。

1. 首先浏览器读取证书中的证书所有者、有效期等信息进行一一校验
2. 浏览器开始查找操作系统中已内置的受信任的证书发布机构CA，与服务器发来的证书中的颁发者CA比对，用于校验证书是否为合法机构颁发
3. 如果找不到，浏览器就会报错，说明服务器发来的证书是不可信任的。
4. 如果找到，那么浏览器就会从操作系统中取出 颁发者CA 的公钥，然后对服务器发来的证书里面的签名进行解密
5. 浏览器使用相同的hash算法计算出服务器发来的证书的hash值，将这个计算的hash值与证书中签名做对比
6. 对比结果一致，则证明服务器发来的证书合法，没有被冒充
7. 此时浏览器就可以读取证书中的公钥，用于后续加密了