Http協(xié)議基礎(chǔ)

1.明文：

無內(nèi)建的機(jī)密性安全機(jī)制

嗅探或代理階段可查看全部明文信息

https只能提高傳輸層安全

攻擊情景： 中間人攻擊

黑客從獲取通信鏈路中某個節(jié)點權(quán)限（假設(shè)叫T）——>Client向Server發(fā)送請求——>T接受到Client請求，并發(fā)送給Server——>Server發(fā)送真實CA（假設(shè)叫RCA）給T——>T收到RCA，并偽造CA（假設(shè)叫FCA）給Client——>Client講數(shù)據(jù)按照FCA加密并傳送給T——>T解密后按照RCA傳送給Server——>Server回復(fù)

這樣就實現(xiàn)了中間人攻擊。

2.無狀態(tài)

每一次客戶端和服務(wù)器端的通信都是獨立的過程

Web應(yīng)用需要跟蹤客戶端回話（多步通信）

不使用cookie的應(yīng)用，客戶端每次請求都要重新身份驗證（不現(xiàn)實）

Session用于在用戶身份驗證后跟蹤用戶行為軌跡

??????????????? 提高用戶體驗，增加了攻擊向量

cookie中存放了session_id，而服務(wù)器記錄了用戶的session_id并存放到Session中。

cookie機(jī)制采用的是在客戶端保持狀態(tài)的方案，而session機(jī)制采用的是在服務(wù)器端保持狀態(tài)的方案。

攻擊情景：CSRF