本篇文章为你整理了HTTP缺点有哪些，如何解决（）的详细内容，包含有 HTTP缺点有哪些，如何解决，希望能帮助你了解 HTTP缺点有哪些，如何解决。

　　大家好，我是蜗牛，在上一篇中，我们介绍了不同版本的HTTP区别和发展背景，这篇文章我们来聊聊HTTP的缺点，HTTP缺点大致总结有以下三点：

　　通信使用明文（不加密），内容可能会被窃听。

　　不验证通信方的身份，因此有可能遭遇伪装（客户端和服务端都有可能）

　　无法证明报文的完整性，有可能会被篡改。

　　其实以上问题不止HTTP有，其他未加密的协议也有此类问题，下面就以上三点详细介绍

　　通信使用明文（不加密），内容可能会被窃听

　　因为HTTP不具备加密的功能，所以无法对通信报文进行加密，所以是使用明文进行发送，那么就有可能被窃听。

　　可以看到窃听无处不在

　　窃听的方式有多种，比较常见有抓包工具（Wireshark）或者嗅探器（Sniffer）等工具，进行窃听。

　　下面图片是使用Wireshark抓取的数据：

　　
通信的层加密

　　通过HTTP与SSL/TLS的组合使用（SSL/TSS后续章节介绍），可以加密http通信内容。

　　
通信报文内容加密

　　双方约定好密钥，在传输前对原报文进行一个加密，传输至服务端或客户端在进行解密，因为此类方式不同于https方式，所以还是有一定的风险。

　　密钥不是一次一密，而且是内嵌在代码中，都有可能被获取。

　　如果是基于浏览器的工程，那么这个密钥是内嵌在js中的，而js是可以访问的，那么就有可能被获取。

　　如果是app工程中，也有可能被反编译获取。

　　
不验证通信方的身份，因此有可能遭遇伪装

　　HTTP协议的请求与响应不会对通信方进行身份的确认，因此这种无法确认通信方，总结有以下几类问题：

　　无法确定请求目标的Web服务器是否，真正要访问的服务器。

　　无法确定客户端是否是真实要响应的客户端。

　　无法确定正在通信的双方是否具备访问权限，比如：提供的WEB服务只想开发给指定的客户端访问。

　　无法判定请求来自何方，出自谁手。

　　即使是无意义的请求，也会照单全收。如海量的Dos攻击。

　　使用SSL才可以防止此类问题，SSL不仅提供加密功能，还提供证书，通过证书可以确定通信的方是意料之中的，这里肯定有人会问那证书如何保证可信呢？

　　证书是有公认值得信赖的CA机构颁发的，其他机构是没有颁发证书权限的。CA机构是可信赖的，那么颁发的证书也是可信赖的。

　　客户端验证服务端是否是可信的服务端，即单向认证。

　　客户端与服务端相互认证，即双向认证。

　　无法证明报文的完整性，有可能会被篡改

　　所谓完整性是指信息的准确度，无法证明完整性，那么也就无法判定信息是否准确。

　　由于HTTP协议无法证明通信的完整性，那么请求或者响应过程中报文就有可能被篡改，而服务端或者客户端是无法感知的。

　　比如从网上下载的内容，是无法确认下载后的内容是否跟服务器上的内容一致。

　　像这样在请求/响应途中，遭攻击者拦截并篡改内容攻击，称为中间人攻击。

　　使用md5/sha1/pgp来确定报文完整性的方法

　　点击下载后，可以查看对应文件签名或者散列值，当我点击MD5后，如下图：

　　通过对下载后文件在通过MD5生成散列码，与官网上的散列码进行比较，来确定文件是否被篡改。

　　但是从其他方式证明此种方式也不是绝对安全的，具体可以参见：http://bobao.360.cn/news/detail/768.html大概意思就是构造”前缀碰撞法“，来制造MD5值一样，文件内容不一样的文件。

　　HTTP虽然使用极为广泛, 但是却存在不小的安全缺陷, 主要是其数据的明文传送和消息完整性检测的缺乏, 而这两点恰好是网络支付, 网络交易等新兴应用中安全方面最需要关注的

　　因此为了解决以上问题需要和SSL/TLS相关协议组合，这就是HTTPS，下篇我们介绍HTTPS

　　以上就是HTTP缺点有哪些，如何解决（）的详细内容，想要了解更多 HTTP缺点有哪些，如何解决的内容，请持续关注盛行IT软件开发工作室。

郑重声明：本文由网友发布，不代表盛行IT的观点，版权归原作者所有，仅为传播更多信息之目的，如有侵权请联系，我们将第一时间修改或删除，多谢。