Knowledge Base Theme 问答社区

Have a Question?

如果您有任务问题都可以在下方输入,以寻找您想要的最佳答案

http是(http和https的区别是什么呢?)

2025/03/29 http是
http是(http和https的区别是什么呢?)

题图来自Unsplash,基于CC0协议

本文目录

  • 1、http和https的区别是什么呢?
  • 2、HTTPS和HTTP的区别是什么?
  • 3、HTTPS有什么用?跟HTTP有什么区别呢?
  • 4、什么是https?http+s和http不加s有什么区别?
  • 5、一次完整的http请求过程是怎样的?
  • 6、既然说HTTP是明文传输,为什么没听说哪个网站因为采用http协议而暴露了用户的密码?

    • 正文

    1、http和https的区别是什么呢?

    http和https是浏览器和网站服务器之间的一种约定,约定如何将网站服务器中的信息下载到本地通过浏览器展现出来。

    这种约定很像我们网上购物的这个过程。我们根据自己的需求确定某个网店下单后,下单的过程会约定是通过什么样的方式送到我们手中。

    有些包裹打包后是很容易让人猜测到里面的是什么,并且快递单也能看到收件人的详细信息和物品信息。如:下图某男生签收二次元包裹,别提有多尴尬。拿回家里的路上回头率绝对是100%,难免会被路人指指点点。

    这些特殊的包裹,我们就可以要求店家进行保密发货,将包裹封装在保密纸箱内,快递单上也不能出现敏感信息。

    HTTPS类似于这样的一个约定的过程。

    HTTP协议以明文的方式发送内容,不提供任何方式的数据加密。

    攻击者很容易截取了浏览器和网站服务器之间的传输报文,直接读取里面的信息。

    HTTPS协议由HTTP进行通信,只不过利用了SSL/TLS来加密数据包。

    这样攻击者就算截取到了浏览器和网站服务器之间的传输报文也很难读取里面的信息,除非有相应的密钥进行解密。HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了攻击者的攻击成本。

    HTTP和HTTPS协议的区别

    HTTPS协议在语法、语义上和HTTP一样,HTTP有的,HTTPS也照单全收。

    通常情况下,HTTP会先直接和TCP进行通信。在使用SSL(安全套接字协议)的HTTPS后,就演变成和SSL进行通信,再由SSL和TCP进行通信。

    区别在于:

    1、HTTP的连接很简单,明文传输,通过80端口连接。

    2、HTTPS是由SSL+HTTP构建的可进行身份认证、加密传输的协议,相对更安全,通过443端口连接。

    3、HTTPS需要到证书颁发机构申请证书。

    由此可见HTTPS可以对内容传输结果进行完整性校验,内容结果对称加密,每个连接生产一个唯一的加密密钥,第三方无法伪造服务端或客户端身份。

    HTTPS的缺点SSL的专业证书需要购买,功能越是强大的证书费用越高。个人网站、小网站可以选择入门级别免费证书。SSL证书通常需要绑定固定IP,为服务器增加固定IP会增加一定费用。SSL证书的信用链体系并不安全。某些国家可以控制CA根证书的情况下,中间人攻击一样可行。HTTPS连接服务器端资源占用较多,会影响缓存增加数据开销和功耗,会使页面的加载时间延长近50%,增加10%-20%的耗电,相同负载下会增加带宽和服务器投入成本。HTTPS协议的安全有范围,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到作用。

    HTTPS既然有那么多缺点,那是不是就不做了呢?

    不是,“金无足赤,人无完人”,实际上越来越多的网站配置SSL证书,它可以有效地保护网络隐私,这已经成为了大众化的安全需求趋势。随着技术的发展很多的缺点也在弥补和优化,比如:很多服务器提供商推出了免费证书和一站式HTTPS搭建服务,打开速度问题也可以通过CDN加速服务解决。

    实际上HTTPS也并不会影响搜索引擎抓取、收录内容,Google、百度建议所有网站尽可能都使用HTTPS。

    以上个人浅见,欢迎批评指正。

    认同我的看法,请点个赞再走,感谢!

    喜欢我的,请关注我,再次感谢!

    2、HTTPS和HTTP的区别是什么?

    http中文全称叫超文本传输协议,英文全称HyperText Transfer Protocol,取的就是英文首字母,属于应用层协议,一般用于web浏览器和网站服务器之间传递信息。

    https比http晚出来,英文全称是Hypertext Transfer Protocol Secure,本质还是http协议,后面加了Secure,很明显是为了解决http传输中的安全性问题。

    区别如下:

    1、http是明文传输,https是加密的安全传输。比如用wireshark抓你自己网卡的数据包,http的请求是能看到明文数据的,https的请求看到的是乱码。这就避免了http传输过程中被窃听截取,或者冒充篡改。

    2、http+ssl=https

    https并不是新的应用层协议,只是http不再直接跟tcp进行通信了,先跟ssl通信,再由ssl和tcp通信。

    3、http在url中以http://开始,默认使用的是80端口;https在url中以https://开始,默认使用的是443端口。当然也有奇葩的,比如http使用了8080端口,https使用了8443端口。

    4、https注重安全性,自然要付出时间,性能,金钱的代价,所以比http页面加载时间慢,对服务器资源消耗大,ssl证书费用高。

    不过虽然各有优缺点,https的普及依旧势不可挡,http也逐渐退出历史舞台。根据 外媒Netmarketshare发布的 的数据显示,截止到2019 年 10 月全球使用HTTPS密的 Web 流量的比例已经超过了九成。HTTPS网站加密传输协议几乎已经接近普及。

    3、HTTPS有什么用?跟HTTP有什么区别呢?

    很高兴回答这个问题。

    HTTPS有什么用?和HTTP有什么区别?

    最近一直在做安全方面的开发,我来回答下。

    HTTPS是使用了安全技术的HTTP协议。

    HTTP的全称是超文本传输协议(HyperText Transfer Protocol)。HTTPS则是以安全为目标的HTTP通道(HyperText Transfer Protocol Over SecureSocket Layer)。它们的区别就在于一个网络传输是非安全的,另一个网络传输是安全的。

    为什么要使用HTTPS?

    普通的HTTP协议采用明文传输,传送的消息容易泄漏及被篡改,也无法验证消息的可靠性和完整性。比如说向服务器传输的数据中携带了自己的银行账户和密码,使用明文的话,第三方只要拦截传输过程中的数据包,账户和明文就很容易被别人窃取。又或者服务器给你回了一个指令,被人从中拦截,篡改为他的内容,你的客户端接收到时,就会按照篡改后的内容执行,非常不安全。再就是服务器给客户端发了条消息,因为网络原因,数据丢了一半内容,客户端又如何知道这个情况呢。

    HTTPS如何实现数据的安全传输的。

    先简单介绍几个概念。

    密钥

    密钥是把明文转换为密文或者将密文转换为明文的算法中输入的参数。它分为两部分,公钥和私钥。有了私钥能推导出公钥,反过来则不行。可以简单理解为钥匙和锁头的关系,即有了钥匙能配出锁头来,但有锁头想配出钥匙来则很难。

    证书

    证书是公钥的载体,里面除了公钥外,还有证书有效期,颁发者信息等其它内容。

    摘要

    摘要就是其字面上的意思,对一段内容进行简略抽象。

    加解密

    加密就是把一段内容使用公钥,转换为另一种无法识别的内容,解密就是使用私钥把加了密的内容还原成原始的内容。

    签名验签

    签名可以理解为另一种形式的加密,它使用私钥把原始内容转换为无法识别的内容,验签则是拿着原始内容以及签名内容,使用公钥验证它们是否一致。

    下面再说下安全处理过程。

    给消息生成摘要后,对摘要做签名,使得客户端能验证消息来源的可靠性和完整性。

    服务器在给客户端的消息前,会先给消息生成摘要,再用自己的私钥给摘要做签名,最后再把签名和私钥对应的证书一起附在消息最后,发给客户端。客户端收到消息后,先验证证书的有效性,如果证书无效,直接pass以确保消息的可靠性。然后对消息做摘要,再拿证书里的公钥结合摘要验证签名是否有效,这样即使消息被篡改或者破坏了了,因为生成的摘要不同,签名也就不一样,可以确保消息的完整性以及未被篡改。

    通过对消息加密,避免消息内容被他人解读。

    服务器和客户端在传输消息前,会先交换双方的密钥,然后传输过程都是一方用密钥对消息加密,另一方用密钥对消息解密。而第三方即使拦截了数据包,也会因为没有密钥而无法解读消息,避免其中的具体内容泄漏。

    总之,相比较HTTP协议,虽然HTTPS的处理逻辑要复杂得多,但在互联网安全日益重要的今天,它已经成为了一个最常用的网络传输协议。

    以上就是HTTP和HTTPS的一些概念性介绍,更复杂和详细的实现原理这里就不展开了,希望对你有帮助,谢谢。

    4、什么是https?http+s和http不加s有什么区别?

    HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司(Netscape)进行,并内置于其浏览器Netscape Navigator中,提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。

    在URL前加https://前缀表明是用SSL加密的。你的电脑与服务器之间收发的信息传输将更加安全。 Web服务器启用SSL需要获得一个服务器证书并将该证书与要使用SSL的服务器绑定。 http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。

    HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议 要比http协议安全

    HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议它是一个安全通信通道,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版。它是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。HTTPS实际上应用了Netscape的安全全套接字层(SSL)作为HTTP应用层的子层。(HTTPS使用端口443,而不是象HTTP那样使用端口80来和TCP/IP进行通信。)SSL使用40 位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证,如果需要的话用户可以确认发送者是谁。HTTPS和HTTP的区别:https协议需要到ca申请证书,一般免费证书很少,需要交费。http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议http和https使用的是完全不同的连接方式用的端口也不一样,前者是80,后者是443。

    http的连接很简单,是无状态的HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议 要比http协议安全HTTPS解决的问题:

    1 . 信任主机的问题. 采用https 的server 必须从CA 申请一个用于证明服务器用途类型的证书. 改证书只有用于对应的server 的时候,客户度才信任次主机. 所以目前所有的银行系统网站,关键部分应用都是https 的. 客户通过信任该证书,从而信任了该主机. 其实这样做效率很低,但是银行更侧重安全. 这一点对我们没有任何意义,我们的server ,采用的证书不管自己issue 还是从公众的地方issue, 客户端都是自己人,所以我们也就肯定信任该server.

    2 . 通讯过程中的数据的泄密和被窜改1. 一般意义上的https, 就是 server 有一个证书.a) 主要目的是保证server 就是他声称的server. 这个跟第一点一样.b) 服务端和客户端之间的所有通讯,都是加密的.i. 具体讲,是客户端产生一个对称的密钥,通过server 的证书来交换密钥. 一般意义上的握手过程.ii. 加下来所有的信息往来就都是加密的.

    第三方即使截获,也没有任何意义.因为他没有密钥. 当然窜改也就没有什么意义了.2. 少许对客户端有要求的情况下,会要求客户端也必须有一个证书.a) 这里客户端证书,其实就类似表示个人信息的时候,除了用户名/密码, 还有一个CA 认证过的身份. 应为个人证书一般来说上别人无法模拟的,所有这样能够更深的确认自己的身份.b) 目前少数个人银行的专业版是这种做法,具体证书可能是拿U盘作为一个备份的载体.HTTPS 一定是繁琐的.a) 本来简单的http协议,一个get一个response. 由于https 要还密钥和确认加密算法的需要.单握手就需要6/7 个往返.i. 任何应用中,过多的round trip 肯定影响性能.b) 接下来才是具体的http协议,每一次响应或者请求, 都要求客户端和服务端对会话的内容做加密/解密.i. 尽管对称加密/解密效率比较高,可是仍然要消耗过多的CPU,为此有专门的SSL 芯片. 如果CPU 信能比较低的话,肯定会降低性能,从而不能serve 更多的请求.ii. 加密后数据量的影响. 所以,才会出现那么多的安全认证提示

    5、一次完整的http请求过程是怎样的?

    谢邀~

    我们打开浏览器,在地址栏输入www.wukong.com,几秒后浏览器打开悟空问答的页面,那么这几秒钟内发生了哪些事情,我就带大家一起看看完整的流程:

    解析URL

    浏览器首先会对输入的URL进行验证,如果不合法的时候,那么会把输入的文字传给默认的搜索引擎,比如你只在地址栏输入“悟空问答”几个字。

    如果URL通过验证,那么可以解析得到协议(http或者https)、域名(wukong)、资源(首页)等信息。

    DNS查询

    浏览器会先检查域名信息是否在缓存中。

    再检查域名是否在本地的Hosts文件中。

    如果还不在,那么浏览器会向DNS服务器发送一个查询请求,获得目标服务器的IP地址。

    TCP封包及传输

    这时候浏览器获得了目标服务器的IP(DNS返回)、端口(URL中包含,没有就使用默认),浏览器会调用库函数socket,生成一个TCP流套接字,也就是完成了TCP的封包。

    TCP封包完成之后,就可以传输了,在完成“你瞅啥”,“瞅你咋地”,“来,过来唠唠”一系列操作之后,浏览器和服务器就完成了TCP的三次握手,建立了连接,后面就可以请求服务器资源了。

    服务器接收请求并相应

    HTTP有很多请求方法,比如:GET/POST/PUT/DELETE等等,我们浏览器输入URL这种,是GET方法。

    服务器接收到GET请求,服务器根据请求信息,获得相应的相应内容。例如我们输入的是:www.wukong.com,那么意味着访问首页文件。

    浏览器解析并渲染

    浏览器从服务器拿到了想要访问的资源,大多数时候,这个资源就是HTML页面,当然也可能是一个其他类型的文件。

    浏览器先对HTML文档进行解析,生成解析树(以DOM元素为节点的树)。

    加载页面的外部资源,比如JS、CSS、图片。

    遍历DOM树,并计算每个节点的样式,最终完成渲染,变成我们看到的页面。

    这次请求响应之后,会断开连接,就这样,完成了一次HTTP的请求。

    我将持续分享Java开发、架构设计、程序员职业发展等方面的见解,希望能得到你的关注。

    6、既然说HTTP是明文传输,为什么没听说哪个网站因为采用http协议而暴露了用户的密码?

    首先可以明确一点的是,HTTP协议下数据传输都是明文传输的,如果请求被截获了那完全可以盗用和篡改数据发出伪造请求。

    HTTP协议是不安全的

    HTTP协议一方面在数据传输过程中是明文传输的,另一方面也缺乏有效机制检查客户端与服务器端的连接是否是可靠的,所以安全性很低。

    为什么很少听说使用HTTP协议暴露了用户的密码?

    这里只是说很少听说使用HTTP协议暴露了用户信息,但并不是代表没有!在HTTP协议下要窃取用户数据需要满足一定条件:

    1、首先要截获到用户的请求

    一般在家庭和办公网络基本上没有人截取你的网络请求,但一些公共WiFi就存在这方面的风险,你的电脑手机通过公共WiFi进行网络连接,攻击者控制了路由就可以监听你的网络请求(类似于本地抓包),请求数据直接暴露在攻击者面前。

    2、密码必须是未加密的

    很多大型网站都有自己的安全团队,在HTTP协议下用户输入密码时,在提交表单之前会对密码进行加密的(每次加密的密文都不一样),这样传到服务器端的密码是加密过的,即使攻击者截获了你的请求看到的密码也是加密后的密码,而且此密码攻击者拿过去也无法通过服务器端验证。

    细心的朋友会发现某些站点输入密码后,提交表单时密码框里的密码感觉一下子变多了。

    对于一些小型网站,这种漏洞都是存在的。

    以上就是我的观点,对于这个问题大家是怎么看待的呢?欢迎在下方评论区交流 ~ 我是科技领域创作者,十年互联网从业经验,欢迎关注我了解更多科技知识!