网安计算机基础知识3网安计算机基础知识3 URL HTTP/HTTPS Cookie-Session SSL-TLS C

网安计算机基础知识3

URL：（Uniform Resource Locator, 统一资源定位器）

是用户与网站进行交换的基础也是Web机制的核心主要组成部分：协议：HTTP或者HTTPS 域名/主机名：服务器地址，例如 www.4747.com 端口：通常默认的是80端口（HTTP/HTTPS），也可指定路径：服务器上资源的具体位置例如 http://域名/

HTTP: (HyperText Transfer Protocol，超文本传输协议)

它是一种应用层协议，最初设计用于在 Web 浏览器和 Web 服务器之间传输 HTML 文档，但现在已广泛用于传输图片、视频、API 调用等各种超媒体资源。核心特性客户端-服务器模型：通信由客户端（如浏览器，称为用户代理）发起请求，服务器处理并返回响应。无状态（Stateless）：协议本身不保留两次请求之间的任何数据。为了实现登录、购物车等功能，通常使用 Cookie 或 Session 来引入“会话状态”。什么是Cookie&Session？

Cookie：存储在“客户端” Cookie 就像服务器发给你的一张临时通行卡。

存储位置：你的浏览器（本地磁盘或内存）。工作原理：服务器通过响应头发送 Cookie，浏览器保存它，之后每次请求该网站，浏览器都会自动在请求头里带上这个 Cookie。安全性：较低。因为数据存在本地，容易被用户修改或脚本窃取（除非设置了 HttpOnly）。生命周期：可以设置过期时间，即使关闭浏览器也可能继续存在（持久 Cookie）。
Session：存储在“服务端” Session 就像服务器为每个用户开辟的一个专属档案袋。

存储位置：服务器内存、数据库或 Redis 中。工作原理：用户登录，服务器创建一个 Session 记录。服务器给浏览器发一个包含 SessionID 的 Cookie。下次请求时，服务器根据 SessionID 在后台找到对应的“档案袋”。安全性：较高。敏感信息（如用户余额、权限）留在服务器，客户端只拿一个 ID。生命周期：默认通常在关闭浏览器或长时间不操作（超时）后失效。

基于文本（传统版本）：HTTP/1.1 及更早版本采用纯文本格式，易于人类阅读和调试。可扩展性：通过引入 HTTP 标头（Headers），可以轻松添加缓存控制、身份验证等新功能。消息结构 一个典型的 HTTP 消息由三部分组成：

起始行：请求行包含方法（如 GET：获取资源（只读）。 POST：提交数据以创建新资源或产生副作用。 PUT：替换目标资源。 DELETE：删除指定资源。）、URL 和协议版本；响应行包含协议版本和状态码：如常见状态码有 200 (OK)、404 (Not Found)、500 (Internal Server Error）。
首部字段 (Header)：以 Key: Value 形式提供的元数据，用于描述资源或控制浏览器行为。
主体内容 (Body)：传输的实际数据，如表单提交的信息或服务器返回的 HTML 代码

版本演进：

HTTP/0.9 (1991)：极其简单，仅支持 GET 方法，响应只包含 HTML 文件本身。
HTTP/1.0 (1996): 引入首部、状态码和多媒体类型支持。
HTTP/1.1 (1997)：引入了持久连接、管道化、分块传输编码等，是目前应用最广的版本。
HTTP/2 (2015)：基于二进制格式，支持多路复用（在一个连接上并行处理多个请求）和头部压缩。
HTTP/3 (2022)：弃用 TCP，改用基于 UDP 的 QUIC 协议，进一步降低延迟并解决队头阻塞问题。

HTTPS：（HyperText Transfer Protocol Secure，超文本传输安全协议）

是 HTTP 的安全版本。它通过 SSL/TLS 协议对客户端（浏览器）与服务器之间的通信进行加密，确保护传输数据的机密性、完整性，并验证网站的真实身份，有效防止窃听、篡改和中间人攻击。

三大关键安全保障：

加密：防止第三方窃取用户隐私（密码、信用卡号等）。
数据完整性：防止数据在传输过程中被篡改。
身份认证：确认用户连接的是真实合法的服务器，防止钓鱼网站。

SSL（安全套接字层）和 TLS（传输层安全）

是为计算机网络通信提供加密、身份验证和数据完整性的互联网安全协议。

SSL (Secure Sockets Layer)：由 Netscape 在 1990 年代中期开发。由于存在安全漏洞，它已被弃用。
TLS (Transport Layer Security)：是 SSL 的后续升级版本。目前广泛使用的是 TLS 1.2 和 TLS 1.3。

核心加密机制

非对称加密（公钥/私钥）：用于 TLS 握手阶段。服务器向客户端发送“公钥”，客户端用公钥加密信息。只有服务器手中的“私钥”能解开，这确保了密钥交换的安全。对称加密（会话密钥）：用于数据传输阶段。一旦双方安全地生成了相同的“会话密钥”，后续所有网页内容都用该密钥加密。散列函数 (Hash)：用于验证数据完整性。通过为数据生成唯一的“指纹”，确保信息在传输中没被篡改。

验证与密钥交换

客户端通过 DigiCert 等权威机构验证证书真伪。客户端生成一个“预主密钥”，用服务器公钥加密后发回。生成会话密钥：双方利用之前的随机数和预主密钥，各自算出一份相同的“会话密钥”。完成：双方通知对方后续通信将全部加密。

CA（Certificate Authority，证书颁发机构）数字证书

是互联网上的“电子身份证”。它由受信任的第三方机构（CA）颁发，用于证明某个公钥确实属于特定的个人、服务器或组织。

核心作用

CA 证书解决了加密通信中的信任问题：身份验证：确保你访问的 baidu.com 确实是百度的服务器，而不是黑客伪造的。分发公钥：证书包含了服务器的公钥，用户通过它来建立加密连接。数据完整性：防止数据在传输过程中被篡改。

什么是代理&VPN？

代理 (Proxy) 代理更像是一个中转站。你把请求发给它，它替你去访问，再把结果传回给你。层级：通常工作在应用层。

作用范围：通常只针对特定的软件（如浏览器或某个 App）。

加密情况：大多不加密或仅部分加密（如 HTTPS 代理）。如果使用普通的 HTTP 代理，你的流量对中转服务器是透明的。
VPN (虚拟专用网络) VPN 就像在公网上为你挖了一条专属隧道。层级：工作在操作系统/网络层。作用范围：全局生效。开启后，你电脑上所有的联网流量（网页、游戏、系统更新）都会走这条隧道。加密情况：强制全流量加密。它使用协议（如 OpenVPN、WireGuard）对数据进行高强度加密，防止运营商或黑客监视。安全性：极高。即使在公共 Wi-Fi 下也能保护隐私。