1. HTTPS和HTTP
区别:
HTTP 明文传输,数据都是未加密的,安全性较差,HTTPS(SSL+HTTP) 数据传输过程是加密的,安全性较好。
使用 HTTPS 协议需要到 CA(Certificate Authority,数字证书认证机构) 申请证书,一般免费证书较少,因而需要一定费用。证书颁发机构如:Symantec、Comodo、GoDaddy 和 GlobalSign 等。
HTTP 页面响应速度比 HTTPS 快,主要是因为 HTTP 使用 TCP 三次握手建立连接,客户端和服务器需要交换 3 个包,而 HTTPS除了 TCP 的三个包,还要加上 ssl 握手需要的 9 个包,所以一共是 12 个包。
http 和 https 使用的是完全不同的连接方式,用的端口也不一样,前者是 80,后者是 443。
HTTPS 其实就是建构在 SSL/TLS 之上的 HTTP 协议,所以,要比较 HTTPS 比 HTTP 要更耗费服务器资源。
HTTPS 默认工作在 TCP 协议443端口,它的工作流程一般如以下方式:
1、TCP 三次同步握手
2、客户端验证服务器数字证书
3、DH 算法协商对称加密算法的密钥、hash 算法的密钥
4、SSL 安全加密隧道协商完成
5、网页以加密的方式传输,用协商的对称加密算法和密钥加密,保证数据机密性;用协商的hash算法进行数据完整性保护,保证数据不被篡改。
http://www.runoob.com/w3cnote/http-vs-https.html
2. https能不能防范中间人攻击?
正常情况下浏览器与服务器在TLS链接下内容是加密的,第三方即使可以嗅探到所有的数据,也不能解密。
但是中间人可以与你建立链接,然后中间人再与服务器建立链接,转发你们之间的内容。这时候中间人就获得了明文的信息。
https://en.wikipedia.org/wiki/Man-in-the-middle_attack
3. CSRF(Cross-site request forgery)
中文名称:跨站请求伪造
解释:攻击者盗用了你的身份,以你的名义发送恶意请求
解决方案:
Same-Site Cookies
Strict/Lax模式
Strict:浏览器在任何跨域请求中都不会携带 cookie
Lax:Lax 模式下有一个例外,就是在顶级导航中使用一个安全的 HTTP 方法发送的请求可以携带 cookie
1.检查Origin
2.Anti-CSRF tokens
当请求一个页面时,可以在返回的页面中嵌入一个随机的token。当真正的用户提交请求时,要求其同时提交该token(同源策略(SOP)会阻止attacker的页面读取该内容),这样就可以通过之前嵌入的那个随机 token 来校验。
refs:https://juejin.im/post/58c669b6a22b9d0058b3c630
4. MITM(Man in the middle)
中间人攻击
攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。
解决方案:
公钥基础建设PKI,客户端验证服务器,服务器验证客户端
更强力的相互认证
延迟测试
使用复杂加密哈希函数进行计算以造成数十秒的延迟;如果双方通常情况下都要花费20秒来计算,并且整个通讯花费了60秒计算才到达对方,这就能表明存在第三方中间人。
https://www.zhihu.com/question/20744215
XSS(Cross-Site Scripting)
跨站脚本攻击
代码注入。通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。
解决方案:
转义HTML,过滤特殊字符
使用HTTP头指定类型,Content Security Policy
https://en.wikipedia.org/wiki/Cross-site_scripting
https://tech.meituan.com/2018/09/27/fe-security.html