HTTPS到底是怎么保证数据安全的?
最近在做登录功能,发现本地开发用的是HTTP,但上线后必须用HTTPS。我大概知道HTTPS是加密的,但具体怎么加密、什么时候加密、证书又起什么作用,完全搞不清楚。
比如我发个请求:fetch('/api/login', { method: 'POST' }),这个过程在HTTPS下到底和HTTP有啥区别?是不是浏览器自动就加密了?那中间人还能不能看到我的密码?
我试过用Charles抓包,发现HTTPS请求的内容直接显示“SSL Proxying not enabled”,根本看不到明文,但HTTP就能看到。这说明加密是在传输层做的?可我又听说有对称和非对称加密,到底哪个阶段用哪种?
- 2
回答
67浏览
HTTPS到底是怎么保证数据安全的?
我最近在做前端项目,发现有些接口必须用HTTPS才能调通,但不太明白它底层是怎么加密的。HTTP明明也能传数据,为啥HTTPS就更安全? 我看浏览器地址栏有个小锁图标,点进去说用了TLS协议,但我还是...
- 2
回答
50浏览
支付宝小程序里怎么正确调用 my.request 发起 HTTPS 请求?
我在支付宝小程序里用 my.request 发请求,但总是报“不支持的协议”错误,明明 URL 是 https 开头的啊? 试过加 header、检查域名白名单,也确认后台开启了 HTTPS,但还是不...
- 1
回答
68浏览
Fiddler抓不到HTTPS请求怎么办?
我用 Fiddler 想抓本地开发环境的 HTTPS 接口,但完全看不到请求,HTTP 的能正常抓到。已经点了 Tools > Options > HTTPS 里的 Decrypt HTT...
- 1
回答
51浏览
Nginx配置HTTPS后页面加载不安全资源怎么办?
我用Let's Encrypt给Nginx配了HTTPS,但网页里有些图片和脚本还是HTTP的,浏览器直接报“混合内容”错误,页面功能都乱了。 试过在Nginx里加add_header Content...
- 2
回答
55浏览
HTTPS对SEO真的有帮助吗?怎么配置才不会出问题?
我最近在优化网站的SEO,听说HTTPS是Google排名的一个因素,但我不太确定具体影响有多大。 现在我的网站还是HTTP的,想升级到HTTPS,但又担心配置错了反而影响收录。比如我用的是Nginx...
- 2
回答
35浏览
前端怎么安全地管理 HTTPS 证书?
我在本地开发一个 React 应用,需要调用后端的 HTTPS 接口,但每次启动 dev server 都提示证书不被信任。我试过用 mkcert 生成本地 CA 和证书,也配到了 webpack-d...
- 2
回答
82浏览
Charles抓包手机HTTPS请求失败怎么办?
我用Charles调试移动端接口,HTTP请求能正常抓到,但一换成HTTPS就显示SSL handshake failed。手机已经装了Charles的根证书,也信任了,iOS 16系统,设置里证书状...
- 1
回答
99浏览
启用HTTPS后CSS样式加载失败怎么办?
我最近给项目配置了HTTPS,但页面样式突然全乱了。检查发现CSS文件加载失败,控制台提示“Mixed Content错误”。我用了绝对路径引用CSS: /* style.css */ body { ...
- 1
回答
114浏览
HTTPS启用后CSS样式失效,服务器返回403错误怎么办?
我最近给网站配置了HTTPS,但发现CSS样式加载失败了。浏览器控制台提示: GET https://example.com/styles/main.css net::ERR_ABORTED 403 ...
- 2
回答
84浏览
移动端HTTPS跳转后子页面显示证书错误怎么办?
我在开发电商小程序时遇到个奇怪的问题,主域名已经配置了HTTPS,但跳转到支付页面时浏览器突然提示NET::ERR_CERT_COMMON_NAME_INVALID。 支付页面是单独的子域名pay.e...
首先,HTTPS和HTTP的区别就在于TCP和TCP之间多了一层SSL/TLS协议,你可以理解为HTTPS = HTTP + SSL/TLS。浏览器和服务器握手成功后,所有的请求响应都会经过这层加密。
至于你问的对称和非对称加密,简单说就是这样:非对称加密用来做“身份验证”和“密钥交换”,对称加密用来做实际的数据加密。
具体流程是这样的:
浏览器发起请求时,服务器会先把自己的证书发过来。证书里面包含了服务器的公钥和一些身份信息,浏览器内置的CA根证书会验证这个证书是否可信。如果证书没问题,浏览器就生成一个随机数作为对称密钥,用证书里的公钥加密后发给服务器。服务器用私钥解密,得到对称密钥。从这一刻开始,双方都用这个对称密钥来加解密数据。
所以你发的fetch请求,数据在浏览器端就被对称加密了,然后经过SSL层传输,到服务器再解密。整个过程中间人确实看不到明文。
Charles抓不到HTTPS内容不是因为它在传输层还是应用层加密的问题,而是因为HTTPS的加密发生在TCP层和网络层之间,Charles想看内容必须先让浏览器信任它的证书,开启SSL Proxying其实就是做中间人攻击,浏览器以为Charles是服务器,Charles以为浏览器是客户端,两边都建立加密连接,它在中间解密再重新加密。
至于中间人能不能看到密码,理论上如果有人能同时截获你的流量并且让浏览器信任了他的证书,那确实能看到。但正常情况下不可能,因为CA证书没那么容易伪造,而且浏览器会检查证书链。
你们项目上线用HTTPS是必须的,登录接口尤其重要,别偷懒。