WEB应用体系之Web传输协议中的缺乏状态跟踪
2018-03-27 17:34:03 | 来源:中培企业IT培训网
3)缺乏状态跟踪
HTTP协议采取的请求、响应模式决定了它是一个无状态的协议。客户端在需要与服务器连接时才建立TCP连接,获取完连接数据后,TCP连接就被断开,再次交换数据需要建立新的连接,因此HTTP协议不会维持一个持续的会话。这一机制在Webl.0时代不会产生问题,而在Web2.0时代,由于交互性的要求,需要提供状态机制。Session是用于解决http无协议缺乏状态跟踪的方式,但是也带来了相应的安全问题。对于已经验证过的用户,只Session ID就可以称为身份验证的方式,攻击者如果能获取用户的有效会话Session ID(服务器没有释放这个session ID,无需用户名和密码,就能以此用户的身份去操纵Web应用,这种攻击方式被称为Session欺骗。
针对Http协议存在的安全问题,解决措施是在HTTP的基础上加入了SSL协议,这就是安全套接字层超文本传输协议(Hyper Text Transfer Protocol over Secure Socket Layer,Htts)。 SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。相比Http协议,https具有较高的安全性,但对系统性能的开销更大,随着云计算技术的发展,服务端提高计算禽旨力的成本越来越低,全站https逐步已经成为一些高安全web应用的选择。