博客

一、HTTP的缺点

HTTP 主要有这些不足， 例举如下。

• 通信使用明文（不加密） ， 内容可能会被窃听
• 不验证通信方的身份， 因此有可能遭遇伪装
• 无法证明报文的完整性， 所以有可能已遭篡改

这些问题不仅在 HTTP 上出现， 其他未加密的协议中也会存在这类问题。

1.1 通信使用明文可能会被窃听

上图是HTTP基于TCP/IP协议的访问请求过程。其实，在互联网中的任何通信线路上的数据，都有可能被窃取。即使对数据进行了加密，它依旧是可以被截取窃听，只是说因为加密，截取到的数据不一定可以被解密使用。

• 通过加密处理防止窃听

1. 将通信加密
   
   HTTP 协议中没有加密机制， 但可以通过和
   
   SSL（Secure Socket Layer， 安全套接层） 或TLS（Transport Layer Security， 安全层传输协议）
   
   的组合使用，加密 HTTP 的通信内容。
   
   用 SSL建立安全通信线路之后， 就可以在这条线路上进行 HTTP通信了。 与 SSL组合使用的 HTTP 被称为 HTTPS（HTTPSecure， 超文本传输安全协议） 或 HTTP over SSL。
2. 将数据内容加密
   
   HTTP 协议中没有加密机制， 那么就对 HTTP 协议传输的内容本身加密。 即把HTTP 报文里所含的内容进行加密处理。在这种情况下， 客户端需要对 HTTP 报文进行加密处理后再发送请求。
   
   

1.2 不验证通信方身份可能遭遇伪装

HTTP 协议中的请求和响应