HTTP

HTTP

什么是 HTTP？

超文本傳輸協(xié)議（HyperText Transfer Protocol）是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議。所有的網(wǎng)頁瀏覽器（如 Chrome、Firefox、Safari）在獲取網(wǎng)頁時(shí)會使用 HTTP 協(xié)議。HTTP 定義了客戶端（通常是網(wǎng)頁瀏覽器）與服務(wù)器之間請求和響應(yīng)的規(guī)則，是萬維網(wǎng)（WWW）的數(shù)據(jù)傳輸基礎(chǔ)。

簡單來說，HTTP 就像是網(wǎng)頁瀏覽器和 Web 服務(wù)器之間溝通的語言。當(dāng)你輸入一個(gè)網(wǎng)址并按下回車鍵時(shí)，瀏覽器會發(fā)送一個(gè) HTTP 請求給服務(wù)器，服務(wù)器再返回一個(gè) HTTP 響應(yīng)，其中包含了你請求的網(wǎng)頁內(nèi)容。

HTTP 的工作原理：請求-響應(yīng)模型

HTTP 是一個(gè)基于客戶端-服務(wù)器模型的協(xié)議，其基本工作原理遵循一個(gè)簡單的請求-響應(yīng)模型：

1. 客戶端發(fā)起請求 ：

   • 客戶端（通常是網(wǎng)頁瀏覽器）向服務(wù)器發(fā)送一個(gè) HTTP 請求。請求通常包含以下部分：
     • 請求方法： 如 GET、POST，指示服務(wù)器要執(zhí)行的操作。
     • 請求URI ： 通常是指向特定資源的統(tǒng)一資源標(biāo)識符 (URI)，即你訪問的網(wǎng)址。
     • 版本號： 如 HTTP/1.1 或 HTTP/2，指明使用的協(xié)議版本。
     • 頭部信息： 包含附加信息，如客戶端類型、接受的編碼、Cookie 等。
     • 請求體： 部分請求（如 POST）會包含要發(fā)送給服務(wù)器的數(shù)據(jù)。

2. 服務(wù)器處理請求：

   • 服務(wù)器接收到請求后，根據(jù)請求的方法、URI 和其他信息進(jìn)行處理。
   • 處理可能包括查找文件、執(zhí)行腳本、訪問數(shù)據(jù)庫等。

3. 服務(wù)器發(fā)送響應(yīng)：

   • 處理完成后，服務(wù)器向客戶端發(fā)送一個(gè) HTTP 響應(yīng)。響應(yīng)也包含以下部分：
     • 狀態(tài)碼： 如 200 (成功)、404 (未找到資源)、301 (永久重定向) 等，指示請求處理的結(jié)果。
     • 狀態(tài)消息： 與狀態(tài)碼對應(yīng)的文字說明，如 “OK”、“Not Found”、“Moved Permanently”。
     • 頭部信息 ： 包含附加信息，如內(nèi)容類型 (Content-Type)、內(nèi)容長度 (Content-Length)、緩存控制指令等。
     • 響應(yīng)體 ： 包含實(shí)際的數(shù)據(jù)，如網(wǎng)頁內(nèi)容 (HTML)、圖片、視頻、JSON 數(shù)據(jù)等。對于 GET 請求的普通網(wǎng)頁訪問，響應(yīng)體通常是 HTML。

4. 客戶端接收響應(yīng)：

   • 客戶端接收到響應(yīng)后，解析狀態(tài)碼和頭部信息。如果狀態(tài)碼是 2xx 系列（成功），客戶端會解析響應(yīng)體（通常是 HTML），并將其渲染成用戶可見的網(wǎng)頁。

這個(gè)過程不斷重復(fù)，構(gòu)成了我們?nèi)粘Ｉ暇W(wǎng)瀏覽網(wǎng)頁、提交表單、加載圖片等所有 Web 活動(dòng)的底層基礎(chǔ)。

HTTP 正在面臨哪些安全問題？

盡管 HTTP 是萬維網(wǎng)的基礎(chǔ)，但其設(shè)計(jì)本身存在一些顯著的安全問題，主要是因?yàn)樗且粋€(gè)明文傳輸協(xié)議 (Plain Text Transmission Protocol)。這意味著客戶端和服務(wù)器之間傳輸?shù)乃袛?shù)據(jù)，包括密碼、個(gè)人身份信息、敏感業(yè)務(wù)數(shù)據(jù)等，都是未經(jīng)加密的，可以被任何能夠監(jiān)聽到網(wǎng)絡(luò)流量的第三方（攻擊者）輕易截獲和讀取。

主要安全問題包括：

1. 數(shù)據(jù)泄露與竊聽：

   • 由于傳輸內(nèi)容是明文的，任何掌握了網(wǎng)絡(luò)嗅探技術(shù)（如使用 Wireshark 等工具）或在用戶與服務(wù)器、服務(wù)器與代理之間進(jìn)行監(jiān)聽的攻擊者，都可以捕獲到 HTTP 請求和響應(yīng)的詳細(xì)信息。
   • 這可能導(dǎo)致敏感信息（如用戶名、密碼、信用卡號、個(gè)人信息等）被泄露，造成嚴(yán)重的隱私侵犯和身份盜竊風(fēng)險(xiǎn)。

2. 中間人攻擊：

   • 攻擊者可以插入自身到客戶端和服務(wù)器之間的通信路徑中，充當(dāng)“中間人”。他們可以攔截、篡改、讀取或重放 HTTP 請求和響應(yīng)。
   • 例如，攻擊者可以截獲用戶提交的登錄憑據(jù)，然后將其發(fā)送給真實(shí)服務(wù)器，同時(shí)自己保存一份，從而竊取用戶賬戶。
   • 由于 HTTP 沒有內(nèi)置驗(yàn)證機(jī)制來確認(rèn)通信雙方的身份，這種攻擊相對容易實(shí)現(xiàn)。

3. 跨站腳本攻擊：

   • 雖然 XSS 本身是網(wǎng)站應(yīng)用程序?qū)用娴穆┒?，但通常通過 HTTP GET 或 POST 請求從服務(wù)器獲取數(shù)據(jù)（如動(dòng)態(tài)生成的內(nèi)容、從第三方服務(wù)請求數(shù)據(jù)等），然后未經(jīng)充分過濾地將這些數(shù)據(jù)嵌入到網(wǎng)頁中。
   • 如果服務(wù)器返回的數(shù)據(jù)包含了攻擊者注入的惡意腳本，當(dāng)其他用戶訪問該網(wǎng)頁時(shí)，這些腳本會在用戶的瀏覽器中執(zhí)行，從而竊取用戶數(shù)據(jù)、會話 cookie 或進(jìn)行其他惡意操作。

4. 拒絕服務(wù)攻擊：

   • 攻擊者可以發(fā)送大量無效或惡意的 HTTP 請求到服務(wù)器，消耗服務(wù)器的資源（如帶寬、CPU、內(nèi)存），使其無法響應(yīng)正常用戶的請求，導(dǎo)致服務(wù)中斷。

5. 會話劫持：

   • HTTP 協(xié)議本身不提供機(jī)制來保證會話的機(jī)密性和完整性。如果用戶在未使用 HTTPS 的 HTTP 應(yīng)用中使用會話（Session），攻擊者可以更容易地截獲包含會話標(biāo)識符（Session ID）的 Cookie，從而接管用戶的會話，冒充用戶身份進(jìn)行操作。

HTTPS與HTTP的關(guān)系？為何需要 HTTPS？

由于上述固有的安全問題，HTTP 已逐漸被**HTTPS（HTTP Secure）**所取代或結(jié)合使用。HTTPS 在 HTTP 的基礎(chǔ)上加入了 SSL/TLS 協(xié)議層，提供了以下安全機(jī)制：

• 數(shù)據(jù)加密 (Encryption)： 使用密鑰對數(shù)據(jù)進(jìn)行加密，確保即使在公共網(wǎng)絡(luò)上傳輸，數(shù)據(jù)也能被保護(hù)，防止被竊聽。
• 身份驗(yàn)證 (Authentication)： 通過數(shù)字證書驗(yàn)證服務(wù)器的身份，防止中間人攻擊，讓用戶知道他們正在與真正的服務(wù)器通信。
• 數(shù)據(jù)完整性 (Integrity)： 確保傳輸?shù)臄?shù)據(jù)在傳輸過程中沒有被篡改。

正是由于這些安全特性，HTTPS 成為了保護(hù)用戶數(shù)據(jù)、維護(hù)隱私和建立用戶信任的現(xiàn)代 Web 應(yīng)用的標(biāo)準(zhǔn)。對于處理敏感信息的網(wǎng)站（如電商、網(wǎng)銀、社交媒體、登錄頁面等），以及需要遵守?cái)?shù)據(jù)保護(hù)法規(guī)（如 GDPR）的網(wǎng)站，強(qiáng)制使用 HTTPS 至關(guān)重要。