由php的get post request 想到的安全问题(二)https跟http ssl

最新推荐文章于 2021-03-21 09:27:48 发布
原创 最新推荐文章于 2021-03-21 09:27:48 发布 · 476 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了HTTPS协议的工作原理及其与HTTP的区别,同时深入探讨了SSL(安全套接字层)的作用及其实现机制,帮助读者理解如何保障网络通信的安全。

1、https的介绍

在URL前加https://前缀表明是用SSL加密的。你的电脑与服务器之间收发的信息传输将更加安全。 Web服务器启用SSL需要获得一个服务器证书并将该证书与要使用SSL的服务器绑定。 http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议 
要比http协议安全

HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议
它是一个安全通信通道,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版。
它是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。HTTPS实际上应用了Netscape的安全全套接字层(SSL)作为HTTP应用层的子层。(HTTPS使用端口443,而不是象HTTP那样使用端口80来和TCP/IP进行通信。)SSL使用40 位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证,如果需要的话用户可以确认发送者是谁。
HTTPS和HTTP的区别:
https协议需要到ca申请证书,一般免费证书很少,需要交费。
http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议
http和https使用的是完全不同的连接方式用的端口也不一样,前者是80,后者是443。
http的连接很简单,是无状态的
HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议 要比http协议安全
HTTPS解决的问题:
1 . 信任主机的问题. 采用https 的server 必须从CA 申请一个用于证明服务器用途类型的证书. 改证书只有用于对应的server 的时候,客户度才信任次主机. 所以目前所有的银行系统网站,关键部分应用都是https 的. 客户通过信任该证书,从而信任了该主机. 其实这样做效率很低,但是银行更侧重安全. 这一点对我们没有任何意义,我们的server ,采用的证书不管自己issue 还是从公众的地方issue, 客户端都是自己人,所以我们也就肯定信任该server.
2 . 通讯过程中的数据的泄密和被窜改
1. 一般意义上的https, 就是 server 有一个证书.
a) 主要目的是保证server 就是他声称的server. 这个跟第一点一样.
b) 服务端和客户端之间的所有通讯,都是加密的.
i. 具体讲,是客户端产生一个对称的密钥,通过server 的证书来交换密钥. 一般意义上的握手过程.
ii. 加下来所有的信息往来就都是加密的. 第三方即使截获,也没有任何意义.因为他没有密钥. 当然窜改也就没有什么意义了.
2. 少许对客户端有要求的情况下,会要求客户端也必须有一个证书.
a) 这里客户端证书,其实就类似表示个人信息的时候,除了用户名/密码, 还有一个CA 认证过的身份. 应为个人证书一般来说上别人无法模拟的,所有这样能够更深的确认自己的身份.
b) 目前少数个人银行的专业版是这种做法,具体证书可能是拿U盘作为一个备份的载体.
HTTPS 一定是繁琐的.
a) 本来简单的http协议,一个get一个response. 由于https 要还密钥和确认加密算法的需要.单握手就需要6/7 个往返.
i. 任何应用中,过多的round trip 肯定影响性能.
b) 接下来才是具体的http协议,每一次响应或者请求, 都要求客户端和服务端对会话的内容做加密/解密.
i. 尽管对称加密/解密效率比较高,可是仍然要消耗过多的CPU,为此有专门的SSL 芯片. 如果CPU 信能比较低的话,肯定会降低性能,从而不能serve 更多的请求.
ii. 加密后数据量的影响. 所以,才会出现那么多的安全认证提示

2、ssl(安全套接字层)

(1)ssl是一种协议,支持服务通过网络进行通信而不损害安全性。它在客户端和服务器之间创建一个安全连接。然后通过该连接安全地发送任意数据量。

(2)安全套接字层是用于服务器之上的一个加密系统,它可以确保在客户机与服务器之间传输的数据仍然是安全与隐密的。要使服务器和客户机使用 SSL 进行安全的通信,服务器必须有两样东西:
a 密钥对(Key pair) —— 一个密钥对包括一个 公钥和一个 私钥。这两个密钥用来对消息进行加密和解密,以确保在因特网上传输时的隐密性和机密性。
b 证书(Certificate) —— 证书用来进行 身份验证或者身份确认。证书可以是自签(self-signed)证书,也可以是颁发(issued)证书。自签证书是为自己私有的 Web 网络创建的证书。颁发证书是认证中心(certificate authority,CA)或者证书签署者提供(颁发)给您的证书。
(3)ssl认证过程【简单来说,就是用服务器证书的公司密钥对协商出一个对称密钥,然后用对称密钥进行加密】
web服务器申请证书,把csr文件提交给ca,ca签发证书(包括中级证书跟服务器证书)给web服务器。
a、客户机申请链接,包含自己可以实现的算法列表和其他信息
b、服务器回应链接,回应中确定本次通信所需要的算法,并发送自己的证书过去,证书中包含了自己的身份和公钥
c、客户端在收到消息后会生成一个私密消息clientkeyexchange(此消息处理后,将用做加密密钥),并用web服务器的公钥加密,传过去
d、服务器在用私钥解密秘密消息clientkeyexchange,并进行处理,生成加密密钥(会话密钥),会话密钥协商成功
e、客户端和服务器端都知道了会话密钥,并用此会话密钥进行数据加密。

本文参考:http://www.cnblogs.com/wxlzhizu/archive/2009/12/09/1620005.html


zhanglvmeng
关注
php 发送数据_PHP 使用 POST 方式向https发送数据请求
weixin_26945061的博客
03-09 765
要使用php发送post请求我们用到curl即可实现了,这个是最简单并且性能最好的一个请求方式,下面来看这个PHP 使用 POST 方式向https发送数据请求的例子。例子 代码如下 复制代码 $data = '{"type":"news", "offset":50, "count":20 }';$access_token = "0erCbg(此处省略112个字...
php中运用http调用的GETPOST方法示例
12-19
同时,为了提高安全性,可以考虑使用HTTPS并通过`CURLOPT_SSL_VERIFYPEER`和`CURLOPT_CAINFO`选项验证服务器证书。 总结起来,PHP中的cURL库提供了强大的功能,使得我们可以方便地进行HTTP调用,无论是GET还是POST...
phpget post request 想到安全问题(一)
04-30 780
1、phpgetpostrequest的区别: PHP中有$_REQUEST与$_POST、$_GET用于接受表单数据。 一、$_REQUEST与$_POST、$_GET的区别和特点 $_REQUEST[]具用$_POST[] $_GET[]的功能,但是$_REQUEST[]比较慢。通过POSTGET方法提交的所有数据都可以通过$_REQUEST数组获得。
php post请求后端拿不到值_php服务器能获取post请求的数值不能获取get请求的数值...
weixin_39980184的博客
12-21 693
JQuery——实现Ajax应用实现Ajax应用1 .load()异步请求数据,通过Ajax请求加载服务器中的数据,并把返回的数据放置到指定的元素中,调用格式为load(url,[data],[callback])2 参数url为加载服务器地址,可选项data参数为请求时发送的数据,callback参数为数...文章科技小能手2017-11-12770浏览量[IT]JSONP跨域的原理解析...
前端数据通过post请求提交到后端结果为null
SuperAE86的博客
03-16 4290
近来遇到个坑,也是自己大意的,就是tomcat版本的问题,目前我知道的就是7.0以前包括7.0的版本的maxPostSize不限制的设置是小于0,也就是传输大小的限制。但是现在我用的8.5的版本了,还是按照以前的在改server.xml,结果就把自己坑了。如果还是maxPostSize="0"的话,就代表限制post提交数据大小为0了,也就是没有提交数据,所以后端接收到...
前端发送POST请求,后端数据收到为null解决方案、@RequestBody注解的详细使用、content-type决定了发送什么类型的数据
热门推荐
qq_44660367的博客
10-21 2万+
前端通过POST请求发送数据,并且通过F12也可查看到具体数据,但后端数据接收到为null的情况。 前端是这样发送的数据 this.$axios .post('/books', { id: this.form.id, cover: this.form.cover, title: this.form.title, author: this.form.author, dat
php get post 安全性,由phpget post request 想到安全问题(一)
weixin_34889287的博客
03-21 703
概述:今天跟RD高工聊天,说到了get/post,进而延伸出了很多安全性的知识,现在总结如下:1、getpostrequest的区别;2、post安全性较高,如果想更高,可以使用https,进而又想到httpshttp的区别,其中包含了SSL的只是;3、单纯的https也是不够安全的,所以在登录的时候,会加一个登陆控件,其利用中间的算法,会进一步加密,提高安全等级;4、如果这时候有人对键盘...
JAVA http/https 实现get/post请求 带认证信息 同时忽略ssl认证方法
ldddd_的博客
03-20 3802
背景: 最近在做一个项目 前台需要调取平台api 但是直接调用会跨域 所以需要后台调取数据返回给前台 所以。。。。 先贴代码: /** * 发送远端GET请求的公共方法 * * @param url (远程请求的URL) * @param access_token (用户名 密码 选填) * @param acceptType( 接受的数据格式 ...
PHP CURL HTTPS报错SSL certificate problem: unable to get local issuer certificate
small_whale的博客
12-24 878
起因:本地调用java接口返回无数据,但测试环境却是有数据的。 调试过程如下: 1,curl_getinfo—获取一个cURL连接资源句柄的信息。 Array ( [url] => https://grapserver.linkstars.com/goods/getSearch [content_type] => [http_code] =>...
C/C++ HTTP,HTTPS实现GETPOST请求
weixin_41079531的博客
09-27 7965
C/C++ HTTP,HTTPS实现GETPOST请求 HTTP GETPOST 实现过程 HTTP协议是在TCP基础上,加上HTTP协议头实现的 #include <QCoreApplication> #include <qglobal.h> #include <stdio.h> #include <stdlib.h> #include &lt...
使用PHP Socket 编程模拟Http postget请求
10-25
本文将深入探讨如何使用PHP的Socket编程来模拟HTTPGETPOST请求。我们将从一个PHP类开始,该类能够构建HTTP请求并处理响应,此外还将分享代码示例,并讨论其它PHP模拟HTTP请求的方法。 首先,PHP中模拟HTTP请求...
C++实现HTTP GETPOST请求
04-17
本篇文章将详细探讨如何使用C++来实现HTTP GETPOST请求,以及涉及HTTPS安全连接。 HTTP GET请求是HTTP协议中最基础的操作之一,主要用于从服务器获取资源。GET请求的所有参数都包含在URL中,因此它是透明且可...
http发送GetPost请求工具类
10-30
在`HttpUtils`类中,为了处理HTTPS,可能还需要配置SSL证书,以解决安全套接层(SSL)或传输层安全(TLS)的问题。这包括创建`SSLSocketFactory`,信任所有的证书,以及设置到`HttpsURLConnection`上。 接下来,`...
httpClient实例httpClient调用 http/https实例 忽略SSL验证
03-30
HttpGet request = new HttpGet("http://example.com"); HttpResponse response = httpClient.execute(request); ``` 现在,我们转向主题——忽略SSL验证。在生产环境中,SSL验证是必须的,以确保数据传输的安全...
PHPPOSTGETREQUEST
郝云博客
04-24 3558
php中$_request与$_post、$_get的区别 php中有$_request与$_post、$_get用于接受表单数据,当时他们有何种区别,什么时候用那种最好。 一、$_request与$_post、$_get的区别和特点 $_REQUEST[]具用$_POST[] $_GET[]的功能,但是$_REQUEST[]比较慢。通过postget方法提交的
科技管理部门如何借助AI+数智技术突破创新资源匮乏,以打造专业的供需精准匹配?.docx
12-02
科技管理部门如何借助AI+数智技术突破创新资源匮乏,以打造专业的供需精准匹配?
Delphi 12.3 Excel自动化与数据处理集成开发方案
最新发布
12-02
Delphi 12.3 作为一款面向 Windows 平台的集成开发环境,由 Embarcadero Technologies 负责其持续演进。该环境以 Object Pascal 语言为核心,并依托 Visual Component Library(VCL)框架,广泛应用于各类桌面软件、数据库系统及企业级解决方案的开发。在此生态中,Excel4Delphi 作为一个重要的社区开源项目,致力于搭建 Delphi 与 Microsoft Excel 之间的高效桥梁,使开发者能够在自研程序中直接调用 Excel 的文档处理、工作表管理、单元格操作及宏执行等功能。 该项目以库文件与组件包的形式提供,开发者将其集成至 Delphi 工程后,即可通过封装良好的接口实现对 Excel 的编程控制。具体功能涵盖创建与编辑工作簿、格式化单元格、批量导入导出数据,乃至执行内置公式与宏指令等高级操作。这一机制显著降低了在财务分析、报表自动生成、数据整理等场景中实现 Excel 功能集成的技术门槛,使开发者无需深入掌握 COM 编程或 Excel 底层 API 即可完成复杂任务。 使用 Excel4Delphi 需具备基础的 Delphi 编程知识,并对 Excel 对象模型有一定理解。实践中需注意不同 Excel 版本间的兼容性,并严格遵循项目文档进行环境配置与依赖部署。此外,操作过程中应遵循文件访问的最佳实践,例如确保目标文件未被独占锁定,并实施完整的异常处理机制,以防数据损毁或程序意外中断。 该项目的持续维护依赖于 Delphi 开发者社区的集体贡献,通过定期更新以适配新版开发环境与 Office 套件,并修复已发现的问题。对于需要深度融合 Excel 功能的 Delphi 应用而言,Excel4Delphi 提供了经过充分测试的可靠代码基础,使开发团队能更专注于业务逻辑与用户体验的优化,从而提升整体开发效率与软件质量。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
什么是真正的“体系化AI知识产权解决方案”?它如何为市场化技术转移机构创造价值?.docx
12-02
什么是真正的“体系化AI知识产权解决方案”?它如何为市场化技术转移机构创造价值?
一个集成了多种经典与进阶路径规划算法的综合性Python开源项目_该项目核心实现了包括A星算法及其考虑车辆运动学约束的混合A星变体迪杰斯特拉搜索算法贪婪最佳优先搜索算法广度优.zip
12-02
一个集成了多种经典与进阶路径规划算法的综合性Python开源项目_该项目核心实现了包括A星算法及其考虑车辆运动学约束的混合A星变体迪杰斯特拉搜索算法贪婪最佳优先搜索算法广度优.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值