HTTPS如何實(shí)現(xiàn)及安全方面

這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)?lái)有關(guān)HTTPS如何實(shí)現(xiàn)及安全方面，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

HTTPS

定義

HTTPS的全稱是Secure Hypertext Transfer Protocol（安全超文本傳輸協(xié)議），是在http協(xié)議基礎(chǔ)上增加了使用SSL加密傳輸協(xié)議。

實(shí)現(xiàn)過(guò)程

1. 在服務(wù)器上使用OPENSSL創(chuàng)建example.key(私鑰) 和 example.crt (證書簽署請(qǐng)求文件)

2. 提供給 CA 機(jī)構(gòu)CSR 文件，簽署成功后，就會(huì)得到 example.crt 證書文件，SSL 證書文件獲得后，就可以在 Nginx 配置文件里配置 HTTPS了。

socket http tcp udp的關(guān)系區(qū)別

tcp udp屬于傳輸層協(xié)議
http 屬于應(yīng)用層協(xié)議
socket 是tcp udp協(xié)議封裝的API

tcp 與 udp的區(qū)別

tcp 穩(wěn)定、可靠、速度慢：會(huì)有三次握手來(lái)建立連接。
udp不穩(wěn)定、不可靠、速度快：沒(méi)有TCP的握手，UDP是一個(gè)無(wú)狀態(tài)的傳輸協(xié)議，所以它在傳遞數(shù)據(jù)時(shí)非?？臁?/p>

安全方面

SQL注入防護(hù)

1. addslashes() ：可以把' "進(jìn)行轉(zhuǎn)義，但存在“寬字節(jié)注入”漏洞，已廢棄。

2. mysql_real_escape_string()：可有效解決PHP在sql語(yǔ)句組拼時(shí)的注入漏洞

3. 預(yù)處理查詢 (Prepared Statements)：先預(yù)發(fā)送一個(gè)sql模板給mysql，然后再發(fā)送參數(shù)過(guò)去，讓mysql來(lái)進(jìn)行注入處理
   推薦使用第3類方法，很多框架默認(rèn)采用此方法！

XSS（跨站腳本攻擊）防護(hù)

通過(guò)向表單提交JavaScript腳本／iframe等方式達(dá)到竊聽(tīng)cookie，釣魚(yú)網(wǎng)站等方式欺騙用戶
htmlspecialchars()：推薦使用，將>轉(zhuǎn)換為& gt; ， <轉(zhuǎn)化為& lt;

CSRF（跨站點(diǎn)請(qǐng)求偽造）防護(hù)

跨站點(diǎn)請(qǐng)求偽造：Cross Site Request Forgery
黑客通過(guò)偽裝用戶的請(qǐng)求發(fā)送給服務(wù)器，從而獲取到受害者的權(quán)限和操作。
防護(hù)方式：

1. 使用post方式請(qǐng)求。

2. 在頁(yè)面生成一個(gè)隨即串并保存在token中，用于在服務(wù)器中（session）比對(duì)
   https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/index.html

DDOS的防護(hù)

1. 硬件防火墻

2. 軟件防火墻，如firewalld，iptables

3. nginx，apache層的過(guò)濾，在配置文件里加入過(guò)濾ip

4. 使用第三方的防ddos商家，如360網(wǎng)站衛(wèi)士，加速樂(lè)等

上述就是小編為大家分享的HTTPS如何實(shí)現(xiàn)及安全方面了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道。