https/http的一些疑问

最新推荐文章于 2026-06-24 17:52:32 发布
原创 最新推荐文章于 2026-06-24 17:52:32 发布 · 252 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#http #hppts #http劫持 #hppts证书
本文深入探讨了HTTP协议的安全隐患,解释了HTTPS如何通过加密解决这些问题。从HTTP劫持的危害到HTTPS加密的具体内容及流程,再到证书在安全验证中的角色,全面剖析网络通信安全。

目录

之前专门研究过Https的加密方式,以为对http和https都比较了解,后来慢慢的脑袋里有一些其他疑问,在此做下记录

1. http为什么不安全?

  1. 设备A访问百度,并不是直接跟百度服务器联系上的,中间需要很多路由器的转发,?:设备A->路由B->路由C->…路由F->百度服务,百度响应设备A的请求也是要经过这个过程。
  2. 由于http协议没有对数据加密,所以每个路由器都知道设备A和百度之间的通信内容。就类似于你向好友寄信,中间的每个邮递员都可以打开你的信封并对信封内容做修改。
  3. 再举个恶意攻击的真实?:A用电脑连接上陌生的wifi访问JD,正好这个wifi是攻击者B提供的,由于你使用的是http协议,因此B知道你要访问JD,就不帮你继续做转发访问真正的京东网站,而是直接将自己写的假JD html返回给你,你在这上面进行登录后,B就可以收集你的账号密码。这就是很多地方不建议你轻易链接陌生wifi的原因。除此之外,某些路由也是利用这个漏洞,在JD给你返回的html中嵌入一些他们的广告。
  4. 这个漏洞的专业术语叫做http劫持,由于https协议对传输数据进行了加密,才修复了这个漏洞

2. https协议对哪些内容进行加密?

只剩下域名端口和 User-Agent,其他都加密了

3. https加密流程?

具体流程参考什么是 HTTPS 协议?

4. 证书被攻击者拦截,然后篡改响应内容

如果发送的是https请求,浏览器首先要判断响应是否有证书,如果没有证书浏览器会直接说证书无效,攻击者啥也做不了

5. 证书被拦截,然后在攻击者将自签名证书给到客户端

  1. 证书颁发者都在CA机构做了认证,并且各个浏览器和操作系统都默认认为在CA机构认证过的证书都是可信任的,其他都默认不信任,
  2. 所以如果攻击者给到一个自签名的证书,浏览器是不认的,但是如果你非得要在电脑或手机上信任陌生的证书,那就没办法了。但并不是所有的自签名证书都是恶意的,比如我们抓包是安装并信任的证书。
  3. 攻击者也可能给客户端发送一个认证过的证书,但这种方式无益于自爆,因为认证过证书上包含着自己的信息,这样搞很容易找到攻击者
  4. 我拦截到JD的证书,然后我找到腾讯的证书,将腾讯的证书给到客户端,这种方式无效,因为腾讯的证书中不可能包含JD证书的服务器公钥。
http协议的疑问
qq_43677558的博客
12-25 165
HTTP是在网络上传输HTML的协议,用于浏览器和服务器的通信. HTTP协议是(超文本传输协议)的缩写,是用于从万维网服务器传输超文本到本地浏览器的传送协议. HTTP协议定义了很多与服务器交互的方法,即HTTP请求的种类中,最基本的有四种,GET、POST、PUT、DELETE.对应着查改增删. GET:通过请求URI得到资源,一般用于获取/查询资源信息. POST:用于向服务器提交新的内容,...
【爬虫】爬https网站的报错问题
安全不止
09-01 1301
问题来由实验楼项目: https://www.shiyanlou.com/courses/623 解决方法代码中插入 from requests.packages.urllib3.exceptions import InsecureRequestWarning,InsecurePlatformWarning requests.packages.urllib3.disable_warnings(Ins
Fiddler不能抓取Https请求的解决办法
u012183426的博客
10-13 8850
一:windows 7安装Fiddler抓HTTPS请求的解决办法 1.设置https,导出证书。 打开fiddler,“Tools--Fiddler Options--HTTPS”,然后把下图中同样的地方勾上(注意一致),点击Actions,点击第二项:Export Root Certificate to Desktop,这时候桌面上会出现证书FiddlerRoot.cer文件,点击OK设置...
python3 爬虫https的坑 -- 已解决
热门推荐
金柱的博客
10-19 4万+
以下代码在ipython执行无报错,且有正确结果,但在pycharm执行就报错,错误代码见第二段# coding=utf-8 import re import urllib.request def getHtml(url): page = urllib.request.urlopen(url) html = page.read() html = html.decode('ut
HTTP 常见面试题
smart_an的专栏
05-19 994
强缓存指的是只要浏览器判断缓存没有过期,则直接使用浏览器的本地缓存,决定是否使用缓存的主动性在于浏览器这边。如下图中,返回的是 200 状态码,但在 size 项中标识的是 from disk cache,就是使用了强制缓存。, 是一个相对时间;Expires,是一个绝对时间;如果 HTTP 响应头部同时有 Cache-Control 和 Expires 字段的话,Cache-Control 的优先级高于 Expires。
安全与HTTP协议:为何明文传输数据成为争议焦点?
欢迎来到我的前端博客!这里汇集了关于前端开发的最新技术、实用工具和经验分享。我将为你提供详细的教程、代码示例和实战案例,帮助你掌握Web开发的核心概念和技能。不论你是初学者还是有经验的开发者,这个博客都适合你。
11-02 1069
传输的数据并不是计算机底层中的二进制包,而是完整的、有意义的数据,如HTML 文件, 图片文件, 查询结果等超文本,能够被上层应用识别 在实际应用中,HTTP常被用于在Web浏览器和网站服务器之间传递信息,以明文方式发送内容,不提供任何方式的数据加密
计算机网络——HTTPHTTP常见面试题
lebowskii的博客
12-01 313
http基础知识和常见面试题
网络协议HttpHttps
qq_42383787的博客
04-18 987
HTTP通信机制是在一次完整的 HTTP 通信过程中,客户端与服务器之间将完成下列7个步骤: 1)建立 TCP 连接:在HTTP工作开始之前,客户端首先要通过网络与服务器建立连接,该连接是通过 TCP 来完成的,该协议与 IP 协议共同构建 Internet,即著名的 TCP/IP 协议族,因此 Internet 又被称作是 TCP/IP 网络。HTTP 是比 TCP 更高层次的应用层协议,...
OpenHarmony 网络请求全实战:Fetch/Http 双方案 + 全局请求封装 + 拦截器 + 统一异常处理一、前言
Helen_cai的博客
06-22 226
前面系列教程覆盖了鸿蒙 UI 布局、路由、状态管理、本地存储、动画、权限、完整备忘录项目,而网络请求是 APP 对接后端接口、实现线上数据交互的核心能力,几乎所有商用 APP 都离不开网络调用。fetch(推荐首选):语法简洁、异步原生支持、轻量无冗余,适合绝大多数业务接口请求http 模块:底层更灵活,支持请求超时配置、请求头精细管控、长连接,适合复杂接口、大文件上传下载本文避开零散 demo,直接从。
HTTP 请求传参方式总结
xxuxioxx的博客
06-23 192
HTTP 请求传参方式总结
FRP 内网穿透完整实战:从 HTTP 映射到 HTTPS 自签代理
Layouwen的博客
06-23 264
本文介绍如何从零搭建 FRP 内网穿透环境,将本地 Mac 上的 HTTP 服务映射到公网,并通过 Nginx 增加 HTTPS 自签证书代理。方案中 FRP 负责公网服务器与本地服务之间的 TCP 隧道,Nginx 负责 TLS 终止和反向代理。本地服务仍保持普通 HTTP。文章涵盖 frps/frpc 安装配置、systemd 自启动、Token 认证、Nginx Docker host 网络部署、自签证书生成、端口开放、链路验证和常见问题。核心端口为 7000 控制连接、30001-30003 HTT
CVE-2021-41773 Apache HTTP Server 路径穿越与远程命令执行漏洞
2301_81140745的博客
06-22 192
✅/⚠️要点✅CVE-2021-41773 仅影响 Apache HTTP Server2.4.49 这一个版本(非常罕见的单一版本漏洞)✅路径穿越:利用.%2e(URL 编码的..)绕过路径规范化 → 任意文件读取✅远程命令执行:当开启时,可通过执行命令✅是 curl 利用的关键参数,否则 curl 会自动规范化路径导致攻击失败✅RCE 以daemon用户权限执行(非 root),但已足够造成严重破坏⚠️修复方案:升级到 Apache2.4.50或更高版本⚠️。
[Unity开发字典]HTTP_C#_上传文件
初学者的博客
06-22 239
本文介绍了HTTP上传文件的格式规则,重点展示了multipart/form-data类型的请求格式。主要内容包括:1)上传数据必须包含边界字符串、Content-Disposition(指定字段名和文件名)、Content-Type(如application/octet-stream)等头部信息;2)通过C#代码示例演示了完整的文件上传流程,包括构建请求头、写入文件数据和结束边界;3)强调了上传格式的规范性,包括边界字符串的使用和各个部分的排列顺序。文章还提供了相关HTTP标头的官方文档链接供进一步参考。
`python3 -m http.server` 临时文件服务器:为什么跑着跑着就断了?
最新发布
我的博客
06-24 143
是 Python 自带的零依赖 HTTP 文件服务器,在当前目录起一个服务,局域网内别人用浏览器或wget就能下载文件。临时传个文件特别方便 —— 不用装 nginx,不用配 FTP,一行命令搞定。这篇就讲清楚它的基本用法,以及"断开"背后到底发生了什么。
OpenFeign 完全指南:从零构建声明式 HTTP 调用
2201_75642742的博客
06-22 294
本文介绍了使用Spring Cloud OpenFeign实现声明式REST客户端调用的详细步骤和配置方法。主要内容包括: 声明式实现:通过引入依赖、开启Feign客户端、定义接口并注入使用,实现服务间调用的解耦。 第三方API调用:对比了配置文件注入(推荐)和硬编码URL两种方式,演示了如何通过占位符动态配置第三方服务地址。 日志配置:详细说明了Logger.Level的四种级别和两种配置方式,以及如何通过logging.level控制日志输出。 超时配置:解释了连接超时和读取超时的区别,给出了建议值,并
从零开始编写 webserver (四) http模块
m0_74123546的博客
06-22 233
REQUEST_LINE, // 正在解析请求行HEADERS, // 正在解析请求头BODY, // 正在解析请求体FINISH, // 解析完成状态流转:REQUEST_LINE ──(解析成功)──> HEADERS ──(空行)──> BODY ──> FINISH整个 HTTP 模块的核心其实就是三件事:有限状态机:解决 TCP 粘包/半包带来的解析难题正则:简洁地拆出 HTTP 文本字段mmap` + `writev:把零拷贝做到极致,少一次用户态 → 内核态的数据搬运。
移动端 TCP/UDP 数据流抓包分析方案 HTTP 和传输层的排查路径
2501_91591841的博客
06-24 194
移动端开发排查网络问题时,HTTP 层面看不出异常的偶发故障往往出在 TCP 传输层。本文从一次连接超时排查经历出发,对比了 Wireshark、Charles 和 SniffMaster 在 iOS TCP/UDP 数据流抓包中的操作流程和适用场景,包含设备连接、选择 App 过滤、传输链路分析和 pcap 导出的具体步骤。
SSE 和 Streamable HTTP
天地沧海
06-24 189
SSE和都与基于 HTTP 的流式传输有关,但它们不是同一层面的概念。SSE:是一种具体的浏览器/HTTP 推送技术标准,全称。:通常指可流式返回数据的 HTTP 交互方式,更偏向一种能力描述或设计模式,而不是像 SSE 那样严格、单一的浏览器标准。SSE是一种“如何流”的标准方案。是“HTTP 请求/响应可以边生成边返回”的更宽泛能力,其中可以用 SSE,也可以不用 SSE。SSE 的全称是,即服务器向客户端单向持续推送事件的机制。
Beast 协程异步 HTTP 服务器
2502_93606049的博客
06-22 404
理解这些类型和 API 后,你就可以用 Beast 处理任意 HTTP 消息。参数,因为序列化是直接从 message 对象内部数据生成的,不需要外部缓冲。,这会导致 echo 协程中所有在该 socket 上挂起的异步操作立即以。listener 不需要返回值,每个 echo 也是独立生命周期。** 将网络数据读取到此缓冲区,同时从中解析 HTTP 消息**。(可能是多个不连续内存块的视图),不能直接当字符串用。之后又被修改,发送的长度就会不匹配。** 内部做了四件事:**** 内部做了两件事:**
httplib + Protobuf实践:打造高性能二进制协议通讯录HTTP服务+从零构建到PB与JSON性能对比及总结
羑悻的博客.
06-19 2978
本文介绍了基于httplib和Protobuf的轻量级通讯录HTTP服务实现,通过Protobuf序列化实现客户端与服务端的数据交互,展示了客户端和服务端的实现流程,并进行了PB与JSON的性能对比测试,结果显示Protobuf在序列化和反序列化性能上优于JSON。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值