【HTTP(3)】(状态码,https)

【认识状态码】

状态码最重要的目的,就是反馈给浏览器:这次请求是否成功,若失败,则出现失败原因

常见状态码:

200:OK,表示成功

404:Not Found,浏览器访问的资源在服务器上没有找到

403:Forbidden,访问被拒绝(没有权限)

405:Method Not Allowed,方法不支持

500:Internal Server Error服务器内部错误

504:Gateway TimeOut,超时,服务器出问题了,响应没有在规定的时间内返回

302:Found,特殊的状态码,重定向,访问A网站自动跳转到B网站,响应中就会返回302这样的状态码,并且在响应头中添加Location属性(包含了B网站的地址)

总结:

状态码中2开头的,都是成功

4开头的,都是客户端这边出问题

5开头的,都是服务器端这边出问题

【https】

【https概念】

也是一个应用层协议,http协议内容都是按照文本方式明文传输的,这就导致在传输过程中出现一些被篡改的情况,可能会出现「运营商劫持」,一些情况下想下载的内容被偷偷替换为别的内容

如何解决?进行加密

https,在http协议的基础上引入了一个加密层,传输时内容被进行了加密,也是通过密文传输的

【密码的核心概念】

明文:要传输的原始数据

密文:把明文进行加密后得到的一个让别人不能理解的数据

加密:明文—>密文

解密:密文—>明文

密钥:进行加密和解密的重要数据/辅助工具

【对称加密,非对称加密】

两类加密算法

对称加密:无论是加密还是解密,都使用同一个密钥

非对称加密:有一对密钥A和B,使用A加密,就使用B解密,或者使用B加密,就使用A解密

大多时候一对密钥有一个密钥是公开的

公开出来的密钥,称为“公钥”,私藏起来的密钥,称为“私钥”

【https基本工作过程】

首先要注意,https只是在http的基础上引入加密机制,所以除了加密部分其他部分和http一模一样

如果中间的路由器被黑客入侵,此时黑客就可以通过路由器抓包明确地看到传输的数据是什么样子,一旦明确了数据,此时既可以知道数据要干什么,也可以篡改这里的数据

为了解决这样的问题,可以引入对称加密

但客户端和服务器交互过程中,一个服务器对应多个客户端,多个客户端是使用同一个还是不同的密钥?

必须不用,若大家密钥都相同,黑客只需要自己搞一个客户端,就也能知道密钥是什么

按照这样的方式,密钥明文传输给服务器,此时黑客就可能截获到这个密钥,后续的加密形同虚设,因此,通过对称加密,数据就是不安全的

为了让数据安全,可以引入非对称加密

通过非对称加密,对要传输的对称密钥进行加密,需要注意的是,非对称加密存在的目的不是为了取代对称加密,而是“辅助”

业务数据仍然是对称加密传输,而非对称加密只用来传输对称密钥

不取代是因为非对称加密的运算开销大,比较消耗性能,因此只用来加密运算开销小且很关键的对称密钥

【中间人攻击】

上述流程中存在严重缺陷

1.服务器会生成一对公钥私钥pub1和pri1,其中pub1是公开的,pri1自己保存好

2.客户端这边首先给服务器发起一个请求,问服务器公钥是什么,服务器收到了请求,就返回了“公钥是pub1”

3.此时中间的黑客就可以自机生成一对非对称密钥pub2和pri2,然后黑客就会把服务器返回给客户端的响应替换成“公钥是pub2”,变成黑客自己的公钥了

客户端是不清楚当前这个公钥是不是真的,只能选择相信

4.客户端使用pub2针对对称密钥加密,于是就把加密后的数据传输给服务器

5.中间的黑客劫持到上述数据,就可以利用对称密钥的特性,使用自己的pri2针对数据进行解密,得到了对称密钥的内容

随后黑客把拿到的对称密钥内容通过服务器的pub1重新加密,进行伪装,发送给服务器

服务器也不知道这个数据是不是做了手脚,因此服务器就认为和客户端已经把密钥交流完毕了,接下来应该传输数据了

6.接下来双方传输的数据就都能被黑客以对称密钥解密出来

因此,黑客的设备可以在客户端面前假扮服务器,在服务器面前假扮客户端,演技足够好就可以骗过双方,获取到双方传输的业务数据

如何避免中间人攻击?

引入证书机制

产生中间人攻击主要是因为客户端不知道服务器发过来的公钥是不是被伪造的,问题的关键是,能让客户端识别出拿到的公钥是不是正确合理的,不是伪造的公钥

如何证明公钥合理?

引入第三方公证机构

在公证机构这里申请「证书」(是电子的一串数据)

申请的时候就需要提交一些资料(网站域名,备案号等,以及最重要的公钥)

公证机构可以根据这些信息生成一个「证书」

服务器申请到证书后,后续客户端从服务器拿公钥,就不是只拿公钥,而是拿整个证书

此时,客户端就可以凭借证书中的数字签名对证书的合法性进行验证

【客户端验证数字签名流程】

1.客户端把证书中各个字段,再算一次校验和,得到checksum1

2.客户端使用公证机构的公钥,对数字签名进行解密,得到checksum2

3.对比checksum1和checksum2

若相等,视为当前证书各个字段和服务器这边的证书相同,就可以认为这是合法证书

若不相等,意味着证书上的内容被中间的黑客篡改,此时浏览器往往会弹出警告页面,提示用户该网站不安全

当前客户端手里拿着公证机构的公钥,客户端如何确定这个公证机构的公钥是正确的,不是伪造的?

这个东西不是通过网络获取的,而是操作系统内置的,因此不会是伪造的

黑客可不可以篡改数据后,同时更新数字签名,让数字签名解密出来的checksum2,和篡改过的checksum1一致?

理论不可行,黑客篡改数据后,要想重新生成数字签名,就要使用公证机构的私钥来加密,这个私钥不是普通黑客能拿到的

黑客如果自己生成一个私钥也没用,这个时候客户端拿着公证机构的公钥也解密不了(不是一对的密钥)

此时客户端如果解密出错,也可以认为证书有问题

Fiddler等抓包工具为什么能解析https数据

这类抓包工具只有拿到对称密钥,才能对数据解密

换句话说,这种工具就是在进行被允许的中间人攻击

(开启这类抓包工具的https选项时,同意了「信任抓包工具提供的证书」的选项,因此就是允许了)

1.此时客户端已经信任了fiddler证书,客户端手里就拿着了fiddler的公钥,fiddler就相当于客户端认可的公正机构

2.在客户端询问服务器证书的时候,对于服务器返回的证书,fiddler会篡改证书中的数据,把证书中的公钥替换为自己的公钥,并且使用自己的私钥来加密,得到数字签名,并重新生成证书替换服务器的证书,发给客户

3.客户端验证fiddler证书,计算证书各个属性的校验和,得到checksum1,并从数字签名解密,得到checksum2

这个数字签名就是拿着刚才信任的fiddler公钥进行解密了,这就达成了中间人攻击

这里与刚才的黑客攻击最大差别就是客户端验证fiddler证书的环节

因为对fiddler证书进行了信任,这就令客户端在后续把fiddler当成了公证机构,拿着它提供的公钥进行解密,自然也是没问题的

【重点掌握】

在浏览器输入url后,到最终展示出页面为止,这个过程中计算机都做了哪些事情呢?

基本思路:

站在网络原理的角度

a.DNS解析,我们输入的url里面一般都是一个域名,所以需要通过DNS服务器根据域名得到IP地址

b.https,接下来客户端要给服务器发送一个https请求,进入https的握手过程(对称加密,非对称加密,中间人攻击,证书等)

c.http,前面加密的准备工作完成了,接下来就要正式传输数据了,浏览器构造http请求,服务器返回http响应(http都有啥)

d.TCP,http基于TCP实现(TCP三次握手,核心机制等)

e.IP协议,TCP又是基于IP协议的(IP如何管理IP地址的,IP如何进行数据转发的?)

f.数据链路层(以太网知识)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/887096.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

使用 Light Chaser 进行大屏数据可视化

引言 在当今数据驱动的世界中,数据可视化变得越来越重要。Light Chaser 是一款基于 React 技术栈的大屏数据可视化设计工具,通过简单的拖拽操作,你可以快速生成漂亮、美观的数据可视化大屏和看板。本文将介绍如何使用 Light Chaser 进行数据…

10款好用的开源 HarmonyOS 工具库

大家好,我是 V 哥,今天给大家分享10款好用的 HarmonyOS的工具库,在开发鸿蒙应用时可以用下,好用的工具可以简化代码,让你写出优雅的应用来。废话不多说,马上开整。 1. efTool efTool是一个功能丰富且易用…

【unity进阶知识6】Resources的使用,如何封装一个Resources资源管理器

文章目录 一、Unity资源加载的几种方式1、Inspector窗口拖拽2、Resources3、AssetBundle4、Addressables(可寻址资源系统)5、AssetDatabase 二、准备三、同步加载Resources资源1、Resources.Load同步加载单个资源1.1、基本加载1.2、加载指定类型的资源1.…

漆包线称重系统/自动称重/项目合作

万界星空科技漆包线行业称重系统实现自动称重的方式主要依赖于现代数字电子称重技术、计算机网络技术以及相关的软件系统的集成。以下是对该系统如何实现自动称重的详细解释: 一、硬件基础 称重设备: 系统采用高精度的电子秤作为称重设备,这…

Meta推出Movie Gen 旗下迄今最先进的视频生成AI模型

Meta 今天发布了 MovieGen 系列媒体基础AI模型,该模型可根据文本提示生成带声音的逼真视频。 MovieGen 系列包括两个主要模型: MovieGen Video 和 MovieGen Audio。 MovieGen Video 是一个具有 300 亿个参数的变换器模型,可根据单个文本提示生…

方法重载(Overload)

前言 在前面的学习中,我们学到了重写(Override),这里我们主要进行重载(Overload)的介绍,同时对重写和重载的区别进行分析。 1. 重载(Overload) #方法重载 在同一个类中定义多个同名但参数不同的方法。我们称方法与方法之间构成方法重载 在Java中&…

【linux进程】进程优先级命令行参数环境变量

目录 一,进程切换二,进程优先级1. 什么是优先级2. 权限 vs 优先级3. 为什么要有优先级4. 优先级的查看方式 三,命令行参数1. 什么是命令行参数2. 为什么要有命令行参数3. 是谁做的 四,环境变量1. 基本概念2. 常见环境变量3. 查看环…

针对线上消息积压的排查思路以及解决方案

一、背景 我们在日常工作中,经常会碰到线上告警,消息队列消息积压了,试想如果对消息的消费速率有要求的场景,消息积压一定会或多或少对自己本身的业务场景有影响,这里就针对消息积压的场景,谈谈具体的排查…

15分钟学 Python 第37天 :Python 爬虫入门(三)

Day 37 : Python爬虫入门大纲 章节1:Python爬虫概述 1.1 什么是爬虫? 网页爬虫(Web Crawler)是一种自动访问互联网上网页并提取数据的程序。爬虫的作用包括搜索引擎索引内容、市场调查、数据分析等。 1.2 爬虫的工作原理 发起…

Vue中使用ECharts实现热力图的详细教程

在数据可视化领域,热力图是一种非常直观的表现形式,它通过颜色深浅来展示数据分布情况。在Vue项目中,我们可以使用ECharts这一强大的图表库来实现热力图。下面我将详细介绍如何在Vue中使用ECharts实现热力图。效果如下图: 一、准备…

Python或R时偏移算法实现

🎯要点 计算单变量或多变量时序距离,使用欧几里得、曼哈顿等函数量化不同时序差异。量化生成时序之间接近度相似性矩阵。使用高尔距离和堪培拉距离等相似度测量。实现最小方差匹配算法,绘制步进模式的图形表示。其他语言包算法实现。 &…

vue3 + ts + cesium:绘制、更新圆 ellipse

本文主要实现基础的绘制圆形,并且可以通过拖动圆心更新圆的位置,拖动圆上的边缘点改变圆的半径。 实现效果: (1)单击鼠标左键开始绘制,确定圆的圆心,移动鼠标,改变圆的半径&#xff…

Mac屏蔽系统更新,取出红点标记如果解锁hosts文件

引言:关闭系统更新,首先应该在系统偏好设置---软件更新---去掉自动更新的选项。即使如此,系统仍然进行macOS系统和自带safari等软件的检测更新,并图标右上角红点点标记提醒我们更新,那我们如果彻底屏蔽更新呢&#xff…

解决 Adobe 盗版弹窗

在这个文件夹下删除 Adobe CCXProcess 然后重装。 Adobe Premiere Pro 2024 (v24.6.1) Multilingual :: Варез от m0nkrusa [Warez by m0nkrus] (monkrus.ws) Adobe Photoshop 2024 (v25.12) Multilingual :: Варез от m0nkrusa [Warez by m0nkrus] (monkrus.…

Spring Boot RESTful API开发教程

一、RESTful API简介 RESTful API是一种基于HTTP协议的Web API,其设计原则是简单、可扩展、轻量级、可缓存、可靠、可读性强。RESTful API通常使用HTTP请求方法(GET、POST、PUT、DELETE等)来操作资源,使用HTTP状态码来表示操作结…

JQuery基本介绍和使用方法

文章目录 JQuery基本介绍和使用方法引入依赖 jQuery语法jQuery选择器jQuery事件操作元素获取/设置元素内容获取/设置元素属性获取/返回css属性添加元素删除元素 JQuery基本介绍和使用方法 W3C 标准给我们提供了⼀系列的函数, 让我们可以操作: ⽹⻚内容⽹⻚结构⽹⻚样式 但是…

案例-猜数字游戏

文章目录 效果展示初始画面演示视频 代码区 效果展示 初始画面 演示视频 猜数字游戏 代码区 <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width,…

PostgreSQL Docker Error – 5432: 地址已被占用

PostgreSQL Docker Error – 5432: 地址已被占用 今天在学习【Spring Boot React】价值79.9美元&#xff0c;全栈开发&#xff0c;搭建个人网站、做毕业设计、试试这套课程第17~21节视频的时候&#xff0c;发现运行docker run --name demo-postgres -e POSTGRES_PASSWORDpass…

【C++】类与对象(三)

「前言」 &#x1f308;个人主页&#xff1a; 代码探秘者 &#x1f308;C语言专栏&#xff1a;C语言 &#x1f308;C专栏&#xff1a; C &#x1f308;喜欢的诗句:天行健,君子以自强不息. 目录 一、再谈构造函数 1.1 构造函数体赋值 1.2 初始化列表 1.3 explicit 关键字 二…

pycharm中使用anaconda创建多环境,无法将“pip”项识别为 cmdlet、函数、脚本文件或可运行程序的名称

问题描述 用的IDE是&#xff1a; 使用anaconda创建了一个Python 3.9的环境 结果使用pip命令的时候&#xff0c;报错 无法将“pip”项识别为 cmdlet、函数、脚本文件或可运行程序的名称 解决方案 为了不再增加系统变量&#xff0c;我们直接将变量添加在当前项目中你的Ter…