网络协议

HTTP简介

HTTP（Hypertext Transfer Protocol）是一种用于传输和交换数据的协议，它是构建互联网的重要基础之一。HTTP通过互联网进行通信，它允许客户端（例如Web浏览器）向服务器发出请求，并从服务器接收响应。HTTP使用TCP/IP协议作为底层传输协议，并使用URL（Uniform Resource Locator）作为资源的唯一标识符。

HTTP基本原理

客户端-服务器模型

HTTP基于客户端-服务器模型，客户端向服务器发出请求，服务器接收请求并返回响应。客户端可以是Web浏览器、搜索引擎、移动应用等，服务器可以是Web服务器、应用服务器等。

请求和响应

HTTP通信基于请求和响应的模式。客户端发送HTTP请求，请求包括请求方法、URL、协议版本、请求头和请求体。服务器接收请求并处理，然后返回HTTP响应，响应包括状态码、协议版本、响应头和响应体。请求和响应通过TCP/IP协议进行传输。

URL和URI

URL（Uniform Resource Locator）是Web资源的唯一标识符，它包含了资源的位置和访问方式。例如，http://www.example.com/index.html是一个URL，它指向了example.com网站的主页。
URI（Uniform Resource Identifier）是Web资源的标识符，包括URL和URN（Uniform Resource Name）。URL是URI的一种特殊形式，用于标识资源的位置。URN用于标识资源的名称，但目前尚未得到广泛应用。

HTTP请求 & HTTP响应

HTTP协议基于客户端-服务器模型，客户端向服务器发送请求，服务器接收请求并返回响应。在HTTP通信中，请求和响应是通信的核心。

HTTP请求由客户端发送到服务器，包括请求行、请求头和请求体三个部分。
HTTP响应由服务器发送到客户端，包括响应行、响应头和响应体三个部分
HTTP请求和响应通过TCP/IP协议进行传输，客户端发送请求到服务器的某个端口，服务器接收请求并返回响应。HTTP还有一些特性和扩展，例如持久连接、管道化连接、缓存、压缩、分块编码等，以提高性能和效率

HTTP协议版本

HTTP/0.9

HTTP/0.9是HTTP协议的最初版本，于1991年发布。它非常简单，只支持GET方法，没有请求头和响应头，响应体仅包含文本，没有状态码。HTTP/0.9主要用于传输HTML文档。

HTTP/1.0

HTTP/1.0于1996年发布，支持多种请求方法，例如GET、POST、HEAD等。HTTP/1.0引入了请求头和响应头，状态码和响应体格式也进行了规范化。HTTP/1.0每次请求和响应后都会关闭TCP连接，因此效率较低。

HTTP/1.1

HTTP/1.1于1999年发布，是当前最常用的HTTP协议版本。HTTP/1.1支持持久连接，也就是在同一TCP连接上可以传输多个请求和响应，以提高效率。HTTP/1.1还引入了管道化连接、分块传输编码、缓存等特性。

HTTP/2

HTTP/2于2015年发布，是HTTP/1.1的升级版。HTTP/2采用二进制格式传输数据，而非HTTP/1.x的文本格式，以提高传输效率。HTTP/2还引入了多路复用、服务器推送、流量控制等特性，以进一步提高性能。

HTTP/3

HTTP/3是HTTP/2的进一步升级版，于2020年发布。HTTP/3采用QUIC协议传输数据，而非TCP协议，以解决TCP协议的性能瓶颈问题。HTTP/3还支持0-RTT连接、连接迁移等特性，以提高性能和可靠性。

HTTP缓存

强制缓存

浏览器在请求资源时，会先检查资源的缓存是否过期。如果未过期，则直接从本地缓存中获取资源，不会向服务器发送请求。否则，浏览器会向服务器发送请求，请求资源的最新版本。

协商缓存

当缓存资源过期或者浏览器在请求时设置了禁用强制缓存，浏览器会向服务器发送请求，服务器会返回资源的相关信息（如修改时间、ETag等）。浏览器根据这些信息判断本地缓存是否过期，如果过期则重新从服务器下载资源，否则直接从本地获取。

总结

HTTP的重要性

HTTP协议是现代互联网基础架构的核心协议之一，它负责在客户端和服务器之间传输数据，并支持 Web 上的所有互动功能。HTTP的重要性不言而喻，它对于网站和应用程序的性能、可靠性和安全性等方面都有着深远的影响

HTTPS的定义和概念

HTTPS原理

客户端发起HTTPS请求 > 服务器发送数字证书 > 客户端验证数字证书 > 服务器解密会话密钥 > 客户端和服务器进行加密通信 > 客户端和服务器进行加密通信

客户端（通常是Web浏览器）向服务器发起HTTPS请求。在请求中，客户端声明自己支持HTTPS，并指定要访问的服务器地址和端口号。
服务器接收到HTTPS请求后，会将自己的数字证书发送给客户端。数字证书包含服务器的公钥、证书颁发机构信息和数字签名等信息。
客户端收到服务器的数字证书后，会使用证书颁发机构的公钥对数字签名进行验证，以确保证书的有效性和真实性。如果验证通过，客户端会生成一个随机的对称密钥（称为会话密钥）并使用服务器的公钥进行加密，然后将加密后的会话密钥发送给服务器。
服务器收到客户端发送的加密的会话密钥后，使用自己的私钥进行解密，得到会话密钥。服务器和客户端都拥有了这个会话密钥，后续的通信将使用该密钥进行加密和解密。
客户端和服务器使用会话密钥进行对称密钥加密通信，保证通信内容的机密性和完整性。

HTTPS的安全性特点

HTTPS的身份验证机制

在HTTPS通信中，网站必须通过SSL证书进行身份验证。SSL证书由可信的第三方机构颁发，包含了网站的公钥和身份信息，客户端通过证书验证可以确认所访问的网站是可信的。如果网站的证书无效或不可信，客户端将不会建立与该网站的连接
HTTPS的数据加密机制
在HTTPS通信中，通过使用SSL/TLS协议，客户端与网站之间的数据传输会被加密。这种加密是对称密钥加密和非对称密钥加密相结合的方式。客户端和网站之间会协商一个共享密钥，用于对数据进行加密和解密。非对称密钥加密用于协商共享密钥，以及确认证书的合法性

对称加密
双方拥有相同的密钥，信息得到安全传输

缺点：

不同的客户端、服务器数量庞大，所以双方都需要维护大量的密钥，维护成本很高
因每个客户端、服务器的安全级别不同，密钥极易泄露

非对称加密
客户端用公钥对请求内容加密，服务器使用私钥对内容解密

缺点：

公钥是公开的（也就是黑客也会有公钥），所以第 ④ 步私钥加密的信息，如果被黑客截获，其可以使用公钥进行解密，获取其中的内容

对称加密 & 非对称加密
非对称加密既然也有缺陷，那我们就将对称加密，非对称加密两者结合起来，取其精华、去其糟粕，发挥两者的各自的优势

HTTPS的完整性保护机制

在HTTPS通信中，完整性保护机制通过使用数字签名来保护数据的完整性。数字签名是使用私钥对数据进行加密的一种方式，只有持有公钥的人才能解密。网站使用私钥对数据进行加密，并将数字签名发送给客户端。客户端使用公钥来验证数字签名，以确保数据没有被篡改。如果数字签名无效，客户端将不会接受数据

HTTPS的最佳实践

使用最新版本的SSL/TLS协议版本，可以提高安全性和性能。
使用强密码和证书：选择强密码和证书，可以防止恶意攻击者猜测到密码或窃取证书。
对网站进行安全审计：定期对网站进行安全审计和漏洞扫描，及时发现和修复安全漏洞。
配置HTTPS重定向：通过将HTTP流量重定向到HTTPS，可以防止中间人攻击和窃听。
配置CSP（内容安全策略）：CSP可以防止跨站脚本攻击（XSS）和其他恶意攻击。
限制第三方内容：限制网站上的第三方内容，减少恶意攻击的风险。
加强访问控制：加强访问控制，防止未授权访问和恶意攻击。
监控和日志记录：定期监控和记录网站的活动，及时发现和响应安全事件

HTTPS结论和建议

总结HTTPS的优缺点
HTTPS的优点

数据传输过程中进行加密，可以保护数据的机密性，防止数据被窃听、篡改和伪造。
通过证书进行身份验证，可以确保通信双方的身份，防止中间人攻击。
通过数字签名保护数据完整性，可以确保数据在传输过程中没有被篡改。
增强了网站的安全性和可靠性，提升用户的信任感，提高网站的排名和流量。

HTTPS的缺点

由于加密和解密数据需要消耗更多的计算资源，所以HTTPS的性能相对较低。
HTTPS需要SSL/TLS证书，而证书的申请和管理需要费用和时间。
HTTPS加密和解密需要使用计算资源和网络带宽，所以可能增加服务器负载和带宽成本。
在某些情况下，中间人攻击可能会绕过HTTPS的安全措施，从而导致数据泄露和安全问题。

Socket协议 TODO

## HTTP简介

HTTP（Hypertext Transfer Protocol）是一种用于传输和交换数据的协议，它是构建互联网的重要基础之一。HTTP通过互联网进行通信，它允许客户端（例如Web浏览器）向服务器发出请求，并从服务器接收响应。HTTP使用TCP/IP协议作为底层传输协议，并使用URL（Uniform Resource Locator）作为资源的唯一标识符。

## HTTP基本原理

`客户端-服务器模型`
> HTTP基于客户端-服务器模型，客户端向服务器发出请求，服务器接收请求并返回响应。客户端可以是Web浏览器、搜索引擎、移动应用等，服务器可以是Web服务器、应用服务器等。

`请求和响应`
> HTTP通信基于请求和响应的模式。客户端发送HTTP请求，请求包括请求方法、URL、协议版本、请求头和请求体。服务器接收请求并处理，然后返回HTTP响应，响应包括状态码、协议版本、响应头和响应体。请求和响应通过TCP/IP协议进行传输。

`URL和URI`
> - URL（Uniform Resource Locator）是Web资源的唯一标识符，它包含了资源的位置和访问方式。例如，http://www.example.com/index.html是一个URL，它指向了example.com网站的主页。
> - URI（Uniform Resource Identifier）是Web资源的标识符，包括URL和URN（Uniform Resource Name）。URL是URI的一种特殊形式，用于标识资源的位置。URN用于标识资源的名称，但目前尚未得到广泛应用。

## HTTP请求 & HTTP响应
HTTP协议基于客户端-服务器模型，客户端向服务器发送请求，服务器接收请求并返回响应。在HTTP通信中，请求和响应是通信的核心。

> - HTTP请求由客户端发送到服务器，包括请求行、请求头和请求体三个部分。
> - HTTP响应由服务器发送到客户端，包括响应行、响应头和响应体三个部分
> - HTTP请求和响应通过TCP/IP协议进行传输，客户端发送请求到服务器的某个端口，服务器接收请求并返回响应。HTTP还有一些特性和扩展，例如持久连接、管道化连接、缓存、压缩、分块编码等，以提高性能和效率

## HTTP协议版本

`HTTP/0.9`
> HTTP/0.9是HTTP协议的最初版本，于1991年发布。它非常简单，只支持GET方法，没有请求头和响应头，响应体仅包含文本，没有状态码。HTTP/0.9主要用于传输HTML文档。

`HTTP/1.0`
> HTTP/1.0于1996年发布，支持多种请求方法，例如GET、POST、HEAD等。HTTP/1.0引入了请求头和响应头，状态码和响应体格式也进行了规范化。HTTP/1.0每次请求和响应后都会关闭TCP连接，因此效率较低。

`HTTP/1.1`
> HTTP/1.1于1999年发布，是当前最常用的HTTP协议版本。HTTP/1.1支持持久连接，也就是在同一TCP连接上可以传输多个请求和响应，以提高效率。HTTP/1.1还引入了管道化连接、分块传输编码、缓存等特性。

`HTTP/2`
> HTTP/2于2015年发布，是HTTP/1.1的升级版。HTTP/2采用二进制格式传输数据，而非HTTP/1.x的文本格式，以提高传输效率。HTTP/2还引入了多路复用、服务器推送、流量控制等特性，以进一步提高性能。

`HTTP/3`
> HTTP/3是HTTP/2的进一步升级版，于2020年发布。HTTP/3采用QUIC协议传输数据，而非TCP协议，以解决TCP协议的性能瓶颈问题。HTTP/3还支持0-RTT连接、连接迁移等特性，以提高性能和可靠性。

## HTTP缓存
`强制缓存`
> - 浏览器在请求资源时，会先检查资源的缓存是否过期。如果未过期，则直接从本地缓存中获取资源，不会向服务器发送请求。否则，浏览器会向服务器发送请求，请求资源的最新版本。

`协商缓存`
> - 当缓存资源过期或者浏览器在请求时设置了禁用强制缓存，浏览器会向服务器发送请求，服务器会返回资源的相关信息（如修改时间、ETag等）。浏览器根据这些信息判断本地缓存是否过期，如果过期则重新从服务器下载资源，否则直接从本地获取。
## 总结

### HTTP的重要性
HTTP协议是现代互联网基础架构的核心协议之一，它负责在客户端和服务器之间传输数据，并支持 Web 上的所有互动功能。HTTP的重要性不言而喻，它对于网站和应用程序的性能、可靠性和安全性等方面都有着深远的影响

## HTTPS的定义和概念

## HTTPS原理

`客户端发起HTTPS请求` > `服务器发送数字证书` > `客户端验证数字证书` > `服务器解密会话密钥` > `客户端和服务器进行加密通信` > `客户端和服务器进行加密通信`
> - 客户端（通常是Web浏览器）向服务器发起HTTPS请求。在请求中，客户端声明自己支持HTTPS，并指定要访问的服务器地址和端口号。
> - 服务器接收到HTTPS请求后，会将自己的数字证书发送给客户端。数字证书包含服务器的公钥、证书颁发机构信息和数字签名等信息。
> - 客户端收到服务器的数字证书后，会使用证书颁发机构的公钥对数字签名进行验证，以确保证书的有效性和真实性。如果验证通过，客户端会生成一个随机的对称密钥（称为会话密钥）并使用服务器的公钥进行加密，然后将加密后的会话密钥发送给服务器。
> - 服务器收到客户端发送的加密的会话密钥后，使用自己的私钥进行解密，得到会话密钥。服务器和客户端都拥有了这个会话密钥，后续的通信将使用该密钥进行加密和解密。
> - 客户端和服务器使用会话密钥进行对称密钥加密通信，保证通信内容的机密性和完整性。

## HTTPS的安全性特点
`HTTPS的身份验证机制`
> 在HTTPS通信中，网站必须通过SSL证书进行身份验证。SSL证书由可信的第三方机构颁发，包含了网站的公钥和身份信息，客户端通过证书验证可以确认所访问的网站是可信的。如果网站的证书无效或不可信，客户端将不会建立与该网站的连接
`HTTPS的数据加密机制`
> 在HTTPS通信中，通过使用SSL/TLS协议，客户端与网站之间的数据传输会被加密。这种加密是对称密钥加密和非对称密钥加密相结合的方式。客户端和网站之间会协商一个共享密钥，用于对数据进行加密和解密。非对称密钥加密用于协商共享密钥，以及确认证书的合法性

对称加密
双方拥有相同的密钥，信息得到安全传输

![https.png](/__appId__/upload/articleMaterial/10054/https.png)

缺点：
> - 不同的客户端、服务器数量庞大，所以双方都需要维护大量的密钥，维护成本很高
> - 因每个客户端、服务器的安全级别不同，密钥极易泄露

非对称加密
客户端用公钥对请求内容加密，服务器使用私钥对内容解密

![https1.png](/__appId__/upload/articleMaterial/10054/https1.png)

缺点：
> - 公钥是公开的（也就是黑客也会有公钥），所以第 ④ 步私钥加密的信息，如果被黑客截获，其可以使用公钥进行解密，获取其中的内容

对称加密 & 非对称加密
非对称加密既然也有缺陷，那我们就将对称加密，非对称加密两者结合起来，取其精华、去其糟粕，发挥两者的各自的优势

![https2.png](/__appId__/upload/articleMaterial/10054/https2.png)

`HTTPS的完整性保护机制`
> 在HTTPS通信中，完整性保护机制通过使用数字签名来保护数据的完整性。数字签名是使用私钥对数据进行加密的一种方式，只有持有公钥的人才能解密。网站使用私钥对数据进行加密，并将数字签名发送给客户端。客户端使用公钥来验证数字签名，以确保数据没有被篡改。如果数字签名无效，客户端将不会接受数据

## HTTPS的最佳实践
> - 使用最新版本的SSL/TLS协议版本，可以提高安全性和性能。
> - 使用强密码和证书：选择强密码和证书，可以防止恶意攻击者猜测到密码或窃取证书。
> - 对网站进行安全审计：定期对网站进行安全审计和漏洞扫描，及时发现和修复安全漏洞。
> - 配置HTTPS重定向：通过将HTTP流量重定向到HTTPS，可以防止中间人攻击和窃听。
> - 配置CSP（内容安全策略）：CSP可以防止跨站脚本攻击（XSS）和其他恶意攻击。
> - 限制第三方内容：限制网站上的第三方内容，减少恶意攻击的风险。
> - 加强访问控制：加强访问控制，防止未授权访问和恶意攻击。
> - 监控和日志记录：定期监控和记录网站的活动，及时发现和响应安全事件

## HTTPS结论和建议
总结HTTPS的优缺点
`HTTPS的优点`

> - 数据传输过程中进行加密，可以保护数据的机密性，防止数据被窃听、篡改和伪造。
> - 通过证书进行身份验证，可以确保通信双方的身份，防止中间人攻击。
> - 通过数字签名保护数据完整性，可以确保数据在传输过程中没有被篡改。
> - 增强了网站的安全性和可靠性，提升用户的信任感，提高网站的排名和流量。

`HTTPS的缺点`

> - 由于加密和解密数据需要消耗更多的计算资源，所以HTTPS的性能相对较低。
> - HTTPS需要SSL/TLS证书，而证书的申请和管理需要费用和时间。
> - HTTPS加密和解密需要使用计算资源和网络带宽，所以可能增加服务器负载和带宽成本。
> - 在某些情况下，中间人攻击可能会绕过HTTPS的安全措施，从而导致数据泄露和安全问题。

## Socket协议 TODO