我正在阅读HTTP协议 - 请求 - 响应及其工作原理。 有两件事我仍然不确定我是否会想到并希望得到一些解释 首先,为什么HTTP协议被设计为请求 - 响应?有什么好处呢?或者还有其他选择吗? 第二个是该协议如何影响Web应用程序的安全性?我知道https更安全,因为它使用的是加密......但它是否意味着http根本不安全? (即使我正在使用POST而不是GET等。)
感谢!!!
答案 0 :(得分:0)
据我所知,HTTP主要用于获取和读取文档。它不是远程交互的最佳协议,但最好告诉HTTP Server您要拥有哪个文档并接收它。这就是互联网的开始 - 大量文件应该是任何人都可以访问的。该项目于1989年在CERN开始,共享科学和大学文件是首要任务。
您从HTTPS获得的唯一好处是您的请求和响应都是加密的。这意味着,除了客户端和服务器之外,没有人能够知道两者之间的沟通。但是由于我目前正在开发一个HTTP客户端,我看不到POST与GET相反的任何安全优势(当然,除了某些客户端脚本(javascript)可能无法访问请求内容)。
总而言之,我认为HTTP并不是一般网站的最佳协议,但支持广泛的功能是很好的 - 因为使用HTTP,您可以实现静态文档以及最复杂和动态的网站。
/ EDIT
我认为HTTP根本不安全。那么,在哪种情况下应该是不安全的?某些软件只有可能知道哪些资源被请求了哪些参数,但是对您来说是否有问题:任何其他协议(加密协议除外)都面临同样的问题。
此外,随着HTTP 1.1标准于1999年发布,他们终于开发了一个名为HTTP 2.0的新版本(根据2012年11月的RFC),几乎是Google的SPDY(发音为speedy)协议的副本,比HTTP 1.1更快。
不幸的是,我无法找到Google推出的演示页面,但新协议速度更快,尤其是在加载许多小资源(如图标)时。
答案 1 :(得分:0)
如果要开发安全的Web应用程序,您应该关注许多问题。 它与HTTP 1.x和2.x相关。 请在下面找到应用程序中应该带有安全问题的示例: https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project