幾率大的網(wǎng)絡安全面試題（含答案）

本文面試題匯總：防范常見的Web攻擊重要協(xié)議分布層arp協(xié)議的工作原理rip協(xié)議是什么？rip的工作原理什么是RARP？工作原理OSPF協(xié)議？OSPF的工作原理TCP與UDP區(qū)別總結(jié)什么是三次握手四次揮手？tcp為什么要三次握手？dns是什么？dns的工作原理一次完整的HTTP請求過程Cookies和session區(qū)別GET和POST的區(qū)別HTTPS和HTTP的區(qū)別session的工作原理？http長連接和短連接的區(qū)別OSI的七層模型都有哪些？session的工作原理？什么是TCP粘包/拆包？發(fā)生原因？解決方案TCP如何保證可靠傳輸？URI和URL的區(qū)別什么是SSL？https是如何保證數(shù)據(jù)傳輸?shù)陌踩⊿SL是怎么工作保證安全的）TCP對應的應用層協(xié)議，UDP對應的應用層協(xié)議常見的狀態(tài)碼有哪些？防范常見的Web攻擊什么是SQL注入攻擊攻擊者在HTTP請求中注入惡意的SQL代碼，服務器使用參數(shù)構(gòu)建數(shù)據(jù)庫SQL命令時，惡意SQL被一起構(gòu)造，并在數(shù)據(jù)庫中執(zhí)行。用戶登錄，輸入用戶名lianggzone，密碼‘or‘1’=’1，如果此時使用參數(shù)構(gòu)造的方式，就會出現(xiàn)select*fromuserwherename=‘lianggzone’andpassword=‘’or‘1’=‘1’不管用戶名和密碼是什么內(nèi)容，使查詢出來的用戶列表不為空。如何防范SQL注入攻擊使用預編譯的PrepareStatement是必須的，但是一般我們會從兩個方面同時入手。Web端1）有效性檢驗。2）限制字符串輸入的長度。服務端1）不用拼接SQL字符串。2）使用預編譯的PrepareStatement。3）有效性檢驗。(為什么服務端還要做有效性檢驗？第一準則，外部都是不可信的，防止攻擊者繞過Web端請求)4）過濾SQL需要的參數(shù)中的特殊字符。比如單引號、雙引號。什么是XSS攻擊跨站點腳本攻擊，指攻擊者通過篡改網(wǎng)頁，嵌入惡意腳本程序，在用戶瀏覽網(wǎng)頁時，控制用戶瀏覽器進行惡意操作的一種攻擊方式。如何防范XSS攻擊1）前端，服務端，同時需要字符串輸入的長度限制。2）前端，服務端，同時需要對HTML轉(zhuǎn)義處理。將其中的”<”,”>”等特殊字符進行轉(zhuǎn)義編碼。防XSS的核心是必須對輸入的數(shù)據(jù)做過濾處理。什么是CSRF攻擊跨站點請求偽造，指攻擊者通過跨站請求，以合法的用戶的身份進行非法操作。可以這么理解CSRF攻擊：攻擊者盜用你的身份，以你的名義向第三方網(wǎng)站發(fā)送惡意請求。CRSF能做的事情包括利用你的身份發(fā)郵件，發(fā)短信，進行交易轉(zhuǎn)賬，甚至盜取賬號信息。如何防范CSRF攻擊安全框架，例如SpringSecurity。token機制。在HTTP請求中進行token驗證，如果請求中沒有token或者token內(nèi)容不正確，則認為CSRF攻擊而拒絕該請求。驗證碼。通常情況下，驗證碼能夠很好的遏制CSRF攻擊，但是很多情況下，出于用戶體驗考慮，驗證碼只能作為一種輔助手段，而不是最主要的解決方案。referer識別。在HTTPHeader中有一個字段Referer，它記錄了HTTP請求的來源地址。如果Referer是其他網(wǎng)站，就有可能是CSRF攻擊，則拒絕該請求。但是，服務器并非都能取到Referer。很多用戶出于隱私保護的考慮，限制了Referer的發(fā)送。在某些情況下，瀏覽器也不會發(fā)送Referer，例如HTTPS跳轉(zhuǎn)到HTTP。1）驗證請求來源地址；2）關(guān)鍵操作添加驗證碼；3）在請求地址添加token并驗證。什么是文件上傳漏洞文件上傳漏洞，指的是用戶上傳一個可執(zhí)行的腳本文件，并通過此腳本文件獲得了執(zhí)行服務端命令的能力。許多第三方框架、服務，都曾經(jīng)被爆出文件上傳漏洞，比如很早之前的Struts2，以及富文本編輯器等等，可被攻擊者上傳惡意代碼，有可能服務端就被人黑了。如何防范文件上傳漏洞文件上傳的目錄設置為不可執(zhí)行。1）判斷文件類型。在判斷文件類型的時候，可以結(jié)合使用MIMEType，后綴檢查等方式。因為對于上傳文件，不能簡單地通過后綴名稱來判斷文件的類型，因為攻擊者可以將可執(zhí)行文件的后綴名稱改為圖片或其他后綴類型，誘導用戶執(zhí)行。2）對上傳的文件類型進行白名單校驗，只允許上傳可靠類型。3）上傳的文件需要進行重新命名，使攻擊者無法猜想上傳文件的訪問路徑，將極大地增加攻擊成本，同時向shell.php.rar.ara這種文件，因為重命名而無法成功實施攻擊。4）限制上傳文件的大小。5）單獨設置文件服務器的域名。DDos攻擊客戶端向服務端發(fā)送請求鏈接數(shù)據(jù)包，服務端向客戶端發(fā)送確認數(shù)據(jù)包，客戶端不向服務端發(fā)送確認數(shù)據(jù)包，服務器一直等待來自客戶端的確認沒有徹底根治的辦法，除非不使用TCPDDos預防：1）限制同時打開SYN半鏈接的數(shù)目2）縮短SYN半鏈接的Timeout時間3）關(guān)閉不必要的服務重要協(xié)議分布圖arp協(xié)議的工作原理地址解析協(xié)議，即ARP（AddressResolutionProtocol），是根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議。1.發(fā)送ARP請求的以太網(wǎng)數(shù)據(jù)幀廣播到以太網(wǎng)上的每個主機，ARP請求幀中包含了目的主機的IP地址。2.目的主機收到了該ARP請求之后，會發(fā)送一個ARP應答，里面包含了目的主機的MAC地址。ARP協(xié)議工作原理：每個主機都會在自己的ARP緩沖區(qū)中建立一個ARP列表，以表示IP地址和MAC地址之間的對應關(guān)系。主機（網(wǎng)絡接口）新加入網(wǎng)絡時（也可能只是mac地址發(fā)生變化，接口重啟等），會發(fā)送免費ARP報文把自己IP地址與Mac地址的映射關(guān)系廣播給其他主機。網(wǎng)絡上的主機接收到免費ARP報文時，會更新自己的ARP緩沖區(qū)。將新的映射關(guān)系更新到自己的ARP表中。某個主機需要發(fā)送報文時，首先檢查ARP列表中是否有對應IP地址的目的主機的MAC地址，如果有，則直接發(fā)送數(shù)據(jù)，如果沒有，就向本網(wǎng)段的所有主機發(fā)送ARP數(shù)據(jù)包，該數(shù)據(jù)包包括的內(nèi)容有：源主機IP地址，源主機MAC地址，目的主機的IP地址等。當本網(wǎng)絡的所有主機收到該ARP數(shù)據(jù)包時：（A）首先檢查數(shù)據(jù)包中的IP地址是否是自己的IP地址，如果不是，則忽略該數(shù)據(jù)包。（B）如果是，則首先從數(shù)據(jù)包中取出源主機的IP和MAC地址寫入到ARP列表中，如果已經(jīng)存在，則覆蓋。（C）然后將自己的MAC地址寫入ARP響應包中，告訴源主機自己是它想要找的MAC地址。6.源主機收到ARP響應包后。將目的主機的IP和MAC地址寫入ARP列表，并利用此信息發(fā)送數(shù)據(jù)。如果源主機一直沒有收到ARP響應數(shù)據(jù)包，表示ARP查詢失敗。ARP高速緩存（即ARP表）是ARP地址解析協(xié)議能夠高效運行的關(guān)鍵什么是RARP？工作原理概括：反向地址轉(zhuǎn)換協(xié)議，網(wǎng)絡層協(xié)議，RARP與ARP工作方式相反。RARP使只知道自己硬件地址的主機能夠知道其IP地址。RARP發(fā)出要反向解釋的物理地址并希望返回其IP地址，應答包括能夠提供所需信息的RARP服務器發(fā)出的IP地址。原理：(1)網(wǎng)絡上的每臺設備都會有一個獨一無二的硬件地址，通常是由設備廠商分配的MAC地址。主機從網(wǎng)卡上讀取MAC地址，然后在網(wǎng)絡上發(fā)送一個RARP請求的廣播數(shù)據(jù)包，請求RARP服務器回復該主機的IP地址。(2)RARP服務器收到了RARP請求數(shù)據(jù)包，為其分配IP地址，并將RARP回應發(fā)送給主機。(3)PC1收到RARP回應后，就使用得到的IP地址進行通訊。dns是什么？dns的工作原理將主機域名轉(zhuǎn)換為ip地址，屬于應用層協(xié)議，使用UDP傳輸。（DNS應用層協(xié)議，以前有個考官問過）過程：總結(jié)：瀏覽器緩存，系統(tǒng)緩存，路由器緩存，IPS服務器緩存，根域名服務器緩存，頂級域名服務器緩存，主域名服務器緩存。一、主機向本地域名服務器的查詢一般都是采用遞歸查詢。二、本地域名服務器向根域名服務器的查詢的迭代查詢。1)當用戶輸入域名時，瀏覽器先檢查自己的緩存中是否這個域名映射的ip地址，有解析結(jié)束。2）若沒命中，則檢查操作系統(tǒng)緩存（如Windows的hosts）中有沒有解析過的結(jié)果，有解析結(jié)束。3）若無命中，則請求本地域名服務器解析（LDNS）。4）若LDNS沒有命中就直接跳到根域名服務器請求解析。根域名服務器返回給LDNS一個主域名服務器地址。5）此時LDNS再發(fā)送請求給上一步返回的gTLD（通用頂級域），接受請求的gTLD查找并返回這個域名對應的NameServer的地址6）NameServer根據(jù)映射關(guān)系表找到目標ip，返回給LDNS7）LDNS緩存這個域名和對應的ip，把解析的結(jié)果返回給用戶，用戶根據(jù)TTL值緩存到本地系統(tǒng)緩存中，域名解析過程至此結(jié)束rip協(xié)議是什么？rip的工作原理RIP動態(tài)路由選擇協(xié)議（網(wǎng)絡層協(xié)議）RIP是一種基于距離矢量（Distance-Vector）算法的協(xié)議，它使用跳數(shù)（HopCount）作為度量來衡量到達目的網(wǎng)絡的路由距離。RIP通過UDP報文進行路由信息的交換，使用的端口號為520。工作原理：RIP路由協(xié)議用“更新（UNPDATES）”和“請求（REQUESTS）”這兩種分組來傳輸信息的。每個具有RIP協(xié)議功能的路由器每隔30秒用UDP520端口給與之直接相連的機器廣播更新信息。并且在（用“路程段數(shù)”（即“跳數(shù)”）作為網(wǎng)絡距離的尺度。每個路由器在）給相鄰路由器發(fā)出路由信息時，都會給每個路徑加上內(nèi)部距離。路由器的收斂機制：任何距離向量路由選擇協(xié)議（如RIP）都有一個問題，路由器不知道網(wǎng)絡的全局情況，路由器必須依靠相鄰路由器來獲取網(wǎng)絡的可達信息。由于路由選擇更新信息在網(wǎng)絡上傳播慢，距離向量路由選擇算法有一個慢收斂問題，這個問題將導致不一致性產(chǎn)生。RIP較少路由收斂機制帶來的問題：1）記數(shù)到無窮大機制：RIP協(xié)議允許最大跳數(shù)為15。大于15的目的地被認為是不可達。當路徑的跳數(shù)超過15，這條路徑才從路由表中刪除。2）水平分割法：路由器不向路徑到來的方向回傳此路徑。當打開路由器接口后，路由器記錄路徑是從哪個接口來的，并且不向此接口回傳此路徑。3）破壞逆轉(zhuǎn)的水平分割法：忽略在更新過程中從一個路由器獲取的路徑又傳回該路由器4）保持定時器法：防止路由器在路徑從路由表中刪除后一定的時間內(nèi)（通常為180秒）接受新的路由信息。保證每個路由器都收到了路徑不可達信息5）觸發(fā)更新法：當某個路徑的跳數(shù)改變了，路由器立即發(fā)出更新信息，不管路由器是否到達常規(guī)信息更新時間都發(fā)出更新信息。RIP的缺點1、由于15跳為最大值，RIP只能應用于小規(guī)模網(wǎng)絡；2、收斂速度慢；3、根據(jù)跳數(shù)選擇的路由，不一定是最優(yōu)路由。OSPF協(xié)議？OSPF的工作原理OSPF（OpenShortestPassFirst,開放最短路徑優(yōu)先協(xié)議），是一個最常用的內(nèi)部網(wǎng)管協(xié)議，是一個鏈路狀態(tài)協(xié)議。(網(wǎng)絡層協(xié)議,)原理：OSPF組播的方式在所有開啟OSPF的接口發(fā)送Hello包，用來確定是否有OSPF鄰居，若發(fā)現(xiàn)了，則建立OSPF鄰居關(guān)系，形成鄰居表，之后互相發(fā)送LSA（鏈路狀態(tài)通告）相互通告路由，形成LSDB（鏈路狀態(tài)數(shù)據(jù)庫）。再通過SPF算法，計算最佳路徑（cost最?。┖蠓湃肼酚杀怼CP與UDP區(qū)別總結(jié)？1.TCP面向連接（如打電話要先撥號建立連接）提供可靠的服務;UDP是無連接的，即發(fā)送數(shù)據(jù)之前不需要建立連接，;UDP盡最大努力交付，即不保證可靠交付。（由于UDP無需建立連接，因此UDP不會引入建立連接的時延，TCP需要在端系統(tǒng)中維護連接狀態(tài)，比如接受和發(fā)送緩存，擁塞控制，序號與確認號的參數(shù)等，故TCP會比UDP慢）2.UDP具有較好的實時性，工作效率比TCP高，適用于對高速傳輸和實時性有較高的通信或廣播通信。3.每一條TCP連接只能是一對一的;UDP支持一對一，一對多，多對一和多對多的交互通信4UDP分組首部開銷小，TCP首部開銷20字節(jié);UDP的首部開銷小，只有8個字節(jié)。5.TCP面向字節(jié)流，實際上是TCP把數(shù)據(jù)看成一連串無結(jié)構(gòu)的字節(jié)流;UDP是面向報文的（一次交付一個完整的報文，報文不可分割，報文是UDP數(shù)據(jù)報處理的最小單位）。6.UDP適合一次性傳輸較小數(shù)據(jù)的網(wǎng)絡應用，如DNS，SNMP等什么是三次握手四次揮手？tcp為什么要三次握手？為了防止已失效的連接請求報文段突然又傳送到了服務端，因而產(chǎn)生錯誤第一次握手：建立連接時，客戶端發(fā)送syn包(syn=j)到服務器，并進入SYN_SEND狀態(tài)，等待服務器確認；第二次握手：服務器收到syn包，必須確認客戶的SYN（ack=j+1），同時自己也發(fā)送一個SYN包（syn=k），即SYN+ACK包，此時服務器進入SYN_RECV狀態(tài)；第三次握手：客戶端收到服務器的SYN＋ACK包，向服務器發(fā)送確認包ACK(ack=k+1)，此包發(fā)送完畢，客戶端和服務器進入ESTABLISHED狀態(tài)，完成三次握手。完成三次握手，客戶端與服務器開始傳送數(shù)據(jù)客戶端先發(fā)送FIN，進入FIN_WAIT1狀態(tài)，用來關(guān)閉Client到Server的數(shù)據(jù)傳送服務端收到FIN，發(fā)送ACK，進入CLOSE_WAIT狀態(tài)，客戶端收到這個ACK，進入FIN_WAIT2狀態(tài)服務端發(fā)送FIN，進入LAST_ACK狀態(tài)，用來關(guān)閉Server到Client的數(shù)據(jù)傳送客戶端收到FIN，發(fā)送ACK，進入TIME_WAIT狀態(tài)，服務端收到ACK，進入CLOSE狀態(tài)（等待2MSL時間，約4分鐘。主要是防止最后一個ACK丟失。）第一次揮手：主動關(guān)閉方發(fā)送一個FIN，用來關(guān)閉主動方到被動關(guān)閉方的數(shù)據(jù)傳送，也就是主動關(guān)閉方告訴被動關(guān)閉方：我已經(jīng)不會再給你發(fā)數(shù)據(jù)了(當然，在fin包之前發(fā)送出去的數(shù)據(jù)，如果沒有收到對應的ack確認報文，主動關(guān)閉方依然會重發(fā)這些數(shù)據(jù))，但是，此時主動關(guān)閉方還可以接受數(shù)據(jù)。第二次揮手：被動關(guān)閉方收到FIN包后，發(fā)送一個ACK給對方，確認序號為收到序號+1（與SYN相同，一個FIN占用一個序號）。第三次揮手：被動關(guān)閉方發(fā)送一個FIN，用來關(guān)閉被動關(guān)閉方到主動關(guān)閉方的數(shù)據(jù)傳送，也就是告訴主動關(guān)閉方，我的數(shù)據(jù)也發(fā)送完了，不會再給你發(fā)數(shù)據(jù)了。第四次揮手：主動關(guān)閉方收到FIN后，發(fā)送一個ACK給被動關(guān)閉方，確認序號為收到序號+1，至此，完成四次揮手。GET和POST的區(qū)別get是獲取數(shù)據(jù)，post是修改數(shù)據(jù)get把請求的數(shù)據(jù)放在url上，以?分割URL和傳輸數(shù)據(jù)，參數(shù)之間以&相連，所以get不太安全。而post把數(shù)據(jù)放在HTTP的包體內(nèi)（requrestbody）get提交的數(shù)據(jù)最大是2k（限制實際上取決于瀏覽器），post理論上沒有限制。GET產(chǎn)生一個TCP數(shù)據(jù)包，瀏覽器會把httpheader和data一并發(fā)送出去，服務器響應200(返回數(shù)據(jù));POST產(chǎn)生兩個TCP數(shù)據(jù)包，瀏覽器先發(fā)送header，服務器響應100continue，瀏覽器再發(fā)送data，服務器響應200ok(返回數(shù)據(jù))。GET請求會被瀏覽器主動緩存，而POST不會，除非手動設置。GET是冪等的，而POST不是冪等的Cookies和session區(qū)別Cookie和Session都是客戶端與服務器之間保持狀態(tài)的解決方案1，存儲的位置不同，cookie：存放在客戶端，session：存放在服務端。Session存儲的數(shù)據(jù)比較安全2，存儲的數(shù)據(jù)類型不同兩者都是key-value的結(jié)構(gòu)，但針對value的類型是有差異的cookie：value只能是字符串類型，session：value是Object類型3，存儲的數(shù)據(jù)大小限制不同cookie：大小受瀏覽器的限制，很多是是4K的大小，session：理論上受當前內(nèi)存的限制，4，生命周期的控制cookie的生命周期當瀏覽器關(guān)閉的時候，就消亡了(1)cookie的生命周期是累計的，從創(chuàng)建時，就開始計時，20分鐘后，cookie生命周期結(jié)束，(2)session的生命周期是間隔的，從創(chuàng)建時，開始計時如在20分鐘，沒有訪問session，那么session生命周期被銷毀session的工作原理？session的工作原理是客戶端登錄完成之后，服務器會創(chuàng)建對應的session，session創(chuàng)建完之后，會把session的id發(fā)送給客戶端，客戶端再存儲到瀏覽器中。這樣客戶端每次訪問服務器時，都會帶著sessionid，服務器拿到sessionid之后，在內(nèi)存找到與之對應的session這樣就可以正常工作了。一次完整的HTTP請求過程域名解析-->發(fā)起TCP的3次握手-->建立TCP連接后發(fā)起http請求-->服務器響應http請求，瀏覽器得到html代碼-->瀏覽器解析html代碼，并請求html代碼中的資源（如js、css、圖片等）-->瀏覽器對頁面進行渲染呈現(xiàn)給用戶。HTTPS和HTTP的區(qū)別1.HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密的，也就是明文的，因此使用HTTP協(xié)議傳輸隱私信息非常不安全，HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進行加密傳輸、身份認證的網(wǎng)絡協(xié)議，要比http協(xié)議安全。2.https協(xié)議需要到ca申請證書，一般免費證書較少，因而需要一定費用。3、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。/wqhwe/p/5407468.htmlOSI的七層模型都有哪些？物理層：利用傳輸介質(zhì)為數(shù)據(jù)鏈路層提供物理連接，實現(xiàn)比特流的透明傳輸。數(shù)據(jù)鏈路層：接收來自物理層的位流形式的數(shù)據(jù)，并封裝成幀，傳送到上一層網(wǎng)絡層：將網(wǎng)絡地址翻譯成對應的物理地址，并通過路由選擇算法為分組通過通信子網(wǎng)選擇最適當?shù)穆窂?。傳輸層：在源端與目的端之間提供可靠的透明數(shù)據(jù)傳輸會話層：負責在網(wǎng)絡中的兩節(jié)點之間建立、維持和終止通信表示層：處理用戶信息的表示問題，數(shù)據(jù)的編碼，壓縮和解壓縮，數(shù)據(jù)的加密和解密應用層：為用戶的應用進程提供網(wǎng)絡通信服務http長連接和短連接的區(qū)別在HTTP/1.0中默認使用短連接。也就是說，客戶端和服務器每進行一次HTTP操作，就建立一次連接，任務結(jié)束就中斷連接。而從HTTP/1.1起，默認使用長連接，用以保持連接特性。什么是TCP粘包/拆包？發(fā)生原因？解決方案一個完整的業(yè)務可能會被TCP拆分成多個包進行發(fā)送，也有可能把多個小的包封裝成一個大的數(shù)據(jù)包發(fā)送，這個就是TCP的拆包和粘包問題。原因：1.應用程序?qū)懭霐?shù)據(jù)的字節(jié)大小大于套接字發(fā)送緩沖區(qū)的大小.2.進行MSS大小的TCP分段。(MSS=TCP報文段長度-TCP首部長度)3.以太網(wǎng)的payload大于MTU進行IP分片。（MTU指：一種通信協(xié)議的某一層上面所能通過的最大數(shù)據(jù)包大小。）解決方案：1.消息定長。2.在包尾部增加回車或者空格符等特殊字符進行分割3.將消息分為消息頭和消息尾。4.使用其它復雜的協(xié)議，如RTMP協(xié)議等。TCP如何保證可靠傳輸？1.三次握手。2.將數(shù)據(jù)截斷為合理的長度。應用數(shù)據(jù)被分割成TCP認為最適合發(fā)送的數(shù)據(jù)塊（按字節(jié)編號，合理分片）3.超時重發(fā)。當TCP發(fā)出一個段后，它啟動一個定時器，如果不能及時收到一個確認就重發(fā)4.確認應答：對于收到的請求，給出確認響應5.校驗和：校驗出包有錯，丟棄報文段，不給出響應6.序列號：對失序數(shù)據(jù)進行重新排序，然后才交給應用層7.丟棄重復數(shù)據(jù)：對于重復數(shù)據(jù)，能夠丟棄重復數(shù)據(jù)8.流量控制。TCP連接的每一方都有固定大小的緩沖空間。TCP的接收端只允許另一端發(fā)送接收端緩沖區(qū)所能接納的數(shù)據(jù)。這將防止較快主機致使較慢主機的緩沖區(qū)溢出。9.擁塞控制。當網(wǎng)絡擁塞時，減少數(shù)據(jù)的發(fā)送。123456789校驗和序列號確認應答超時重傳連接管理流量控制擁塞控制常見的狀態(tài)碼有哪些？200OK//客戶端請求成功403Forbidden//服務器收到請求，但是拒絕提供服務404NotFound//請求資源不存在，eg：輸入了錯誤的URL500InternalServerError//服務器發(fā)生不可預期的錯誤URI和URL的區(qū)別URI，統(tǒng)一資源標識符，用來唯一的標識一個資源。URL可以用來標識一個資源，而且還指明了如何定位這個資源。什么是SSL？https是如何保證數(shù)據(jù)傳輸?shù)陌踩⊿SL是怎么工作保證安全的）SSL代表安全套接字層。它是一種用于加密和驗證應用程序（如瀏覽器）和Web服務器之間發(fā)送的數(shù)據(jù)的協(xié)議。身份驗證，加密Https的加密機制是一種共享密鑰加密和公開密鑰加密并用的混合加密機制。SSL/TLS協(xié)議作用：認證用戶和服務，加密數(shù)據(jù)，維護數(shù)據(jù)的完整性的應用層協(xié)議加密和解密需要兩個不同的密鑰，故被稱為非對稱加密；加密和解密都使用同一個密鑰的對稱加密。優(yōu)點在于加密、解密效率通常比較高HTTPS是基于非對稱加密的，公鑰是公開的，（1）客戶端向服務器端發(fā)起SSL連接請求；（2）服務器把公鑰發(fā)送給客戶端，并且服務器端保存著唯一的私鑰（3）客戶端用公鑰對雙方通信