Java基础、中级、高级、架构面试资料

网站升级HTTPS,彻底解决http劫持问题

NDIS herman 6678浏览 0评论
公告:“业余草”微信公众号提供免费CSDN下载服务(只下Java资源),关注业余草微信公众号,添加作者微信:xttblog2,发送下载链接帮助你免费下载!
本博客日IP超过2000,PV 3000 左右,急需赞助商。
极客时间所有课程通过我的二维码购买后返现24元微信红包,请加博主新的微信号:xttblog2,之前的微信号好友位已满,备注:返现
受密码保护的文章请关注“业余草”公众号,回复关键字“0”获得密码
所有面试题(java、前端、数据库、springboot等)一网打尽,请关注文末小程序
视频教程免费领
腾讯云】1核2G5M轻量应用服务器50元首年,高性价比,助您轻松上云

做过网站的,或多或少的遇到过http劫持问题。当然未做过网站的,也可能遇到http劫持,比如我自己曾经遇到过,下载uc浏览器,结果却下载下来一个其他的软件。这就是http劫持的一个案例,生活中关于http劫持的例子还有很多,本文主要讲解http的详解劫持问题。

最常见的http劫持是地铁上使用花生wifi,访问网页后出现了花生wifi的广告。而原本我访问的网站并没有投放相关的广告啊,这是为什么呢?答案就是你访问的这个网站使用的是http协议,有被劫持的可能。

网站被运营商或花生地铁wifi劫持了,它往你的html里面注入了一段广告的html,如下图所示:

图解http劫持

中间人的身份比较特殊,是运营商或者接入设备,所以它是在正常的连接上面的。也可以说由于运营商暗地里做了劫持,你也可以认为它不是一个正常的连接了。

不管怎么样,这种劫持也叫http劫持只发生在http连接上,而https的连接是没这个问题的,基本只要打开的是https的网页都不会被注入广告。因为传输的数据都是加密的,中间人收到的是一串无法解密的文本,它也不知道怎么篡改。

防火防盗防运营商,但是注入广告还算是小事,因为如果是http连接你的数据在网络上都是明文传输的,包括你的密码等敏感信息,你和服务器之间经过的路由都可以嗅探到你的数据,可以做些修改如嵌入一个广告,做一些破坏,或者只单纯的抓取信息如邮件内容、账号密码等。所以使用https是很有必要的,火狐会在非https的网页的密码输入框提示不安全:

Chrome/firefox等浏览器会在较明显的位置提示当前http网站不安全

https的网站还有一个好处就是能够提升SEO

在外面连的公共wifi,使用https能够减少账号信息被盗的风险,但也不是100%安全,因为它可以用其它的方式如在你的设备上种植木马等获取和控制你的账号。

不管怎么样,搞一个https还是很有必要的,至少不要让别人以为那个广告是你自己的网站打的。

https升级后的问题是:加密和解密需要占用更多的CPU,并且加密后的数据会变大,但是据笔者观察加上gzip压缩之后,https传输的内容大小几乎和http一样。除了正常的tcp连接之外,还要建立ssl连接,这个时间一般在0.3s ~ 0.5s左右,这个是需要付出点代价的,但是由于浏览器左下角会提示用户“正在建立安全连接”,有一个缓冲的过程,所以其实还好。

业余草公众号

最后,欢迎关注我的个人微信公众号:业余草(yyucao)!可加作者微信号:xttblog2。备注:“1”,添加博主微信拉你进微信群。备注错误不会同意好友申请。再次感谢您的关注!后续有精彩内容会第一时间发给您!原创文章投稿请发送至532009913@qq.com邮箱。商务合作也可添加作者微信进行联系!

本文原文出处:业余草: » 网站升级HTTPS,彻底解决http劫持问题