#### **问题五:https的原理及其局限性**
**一、原理:**
(1)客户使用https的URL访问Web服务器,要求与Web服务器建立SSL连接。
(2)Web服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。
(3)客户端的浏览器与Web服务器开始协商SSL连接的安全等级,也就是信息加密的等级。
(4)客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
(5)Web服务器利用自己的私钥解密出会话密钥。
(6)Web服务器利用会话密钥加密与客户端之间的通信。
**二、HTTPS的优点**
尽管HTTPS并非绝对安全,掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击,但HTTPS仍是现行架构下最安全的解决方案,主要有以下几个好处:
(1)使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;
(2)HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。
(3)HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。
(4)谷歌曾在2014年8月份调整搜索引擎算法,并称“比起同等HTTP网站,采用HTTPS加密的网站在搜索结果中的排名将会更高”。
**三、HTTPS的缺点**
虽然说HTTPS有很大的优势,但其相对来说,还是存在不足之处的:
(1)HTTPS协议握手阶段比较费时,会使页面的加载时间延长近50%,增加10%到20%的耗电;
(2)HTTPS连接缓存不如HTTP高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响;
(3)SSL证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。
(4)SSL证书通常需要绑定IP,不能在同一IP上绑定多个域名,IPv4资源不可能支撑这个消耗。
(5)HTTPS协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的,SSL证书的信用链体系并不安全,特别是在某些国家可以控制CA根证书的情况下,中间人攻击一样可行。
- 面试自我介绍
- 面试常规题
- HTML,CSS
- 1.动画animation有哪些属性及其基本使用
- 2.transform有哪些属性及其基本使用
- 3.::before 和 :after中双冒号和单冒号 有什么区别
- 4. 如何实现一个元素的垂直水平居中
- 5. position的值relative和absolute定位原点是?
- 6. 用纯CSS创建一个三角形的原理是什么?
- 7. title与h1的区别、b与strong的区别、i与em的区别?
- 8. 使用 CSS 预处理器吗?喜欢那个?
- 9. 如果需要手动写动画,你认为最小时间间隔是多久,为什么?
- 10. 对HTML5的了解
- 11. img与文本之间的留白
- 12. 给唯一子元素margin-top,父元素跟随移动
- 13. 什么是重构和架构
- 14. css选择器的优先级别
- JavaScript
- 1. js变量声明提升
- 2.数组的方法有哪些?这些方法中不改变原数组的有哪些?
- 3. 理解undefined 和 null 区别
- 4. http与https的区别
- 5.https的原理及其局限性
- 6. let/const/var的区别
- 7. JS的内存机制与垃圾回收机制
- 8. 值类型和引用类型的区别
- 9. document.writer和innerHTML
- 10. document.ready和window.onload的区别
- 11. js有几种方法创建一个对象
- 12. 什么是面向对象?其三大特性是什么?
- 13. 数组遍历的方法
- 14. js字符串反转
- 15. 类型转换
- 1. 如何JSON对象转为字符串
- 2. 字符串转化为数字
- 3. 数组与字符串之间的相互转换
- 16. 深拷贝和浅拷贝的区别
- 17. DOM的加载顺序
- 18. call、apply、bind的区别
- 19. ES5和ES6中类的实现
- 10. new操作符的作用
- 21. 事件冒泡和事件捕获
- 22. 同步和异步
- 23. this关键字怎么理解
- 浏览器以及服务端
- 1. 前端开发有哪些优化问题
- 2. AJAX请求总共有多少种CALLBACK
- 3. 输入URL到看到页面发生的全过程
- 4. CSS和JS的位置会影响页面效率
- 5. 前端页面有哪三层
- 6. 说一下浏览器的缓存机制
- 7. 对web标准及w3c的了解和认识
- 8. 什么是路由
- 9. 状态码
- 10. 浏览器内核
- 11. MVC和MVVM的区别
- 12. cookie、session的区别
- 算法
- 1. 如何判断一个对象是否为数组
- 2. 数组去重的方法
- 3. 数组排序
- 4. 数组去重
- 5. 反转数组
- 6. 数组复制
- 7. 取偶数
- 8. 字符串去重
- 全局性问题
- 1. 谈谈对前端模块化的理解
- 2. 移动布局的单位rem,vw,rpx等
- 3. css 动画和 js 动画的差异
- 4. 谈谈对ES6的理解
- 网络数据请求
- 1. 原生Ajax请求
- 2. jQuery-Ajax请求
- 3. Vue-Ajax请求
- 4. React-Ajax请求
- vue和react
- 1. vuex的工作流
- 2. redux工作流