您现在的位置: 首页 > 网站导航收录 > 百科知识百科知识

网站如何使用HTTPS如何防止网站被劫持？

协议,服务器,网站网站如何使用HTTPS如何防止网站被劫持？

发布时间：2020-12-06加入收藏来源：互联网点击：

网站如何使用HTTPS如何防止网站被劫持？

回答于 2019-09-11 08:43:50

回答于 2019-09-11 08:43:50

相信大家对于HTTP与HTTPS协议都或多或少听说过，HTTP协议在Web中的应用是十分广泛的，只不过最近几年HTTPS慢慢火热起来了，大到BAT这类企业的网站默认都是HTTPS协议，小到一些个人博客网站也启用了HTTPS来尝鲜。

我们都听人家说过，HTTPS比HTTP要安全、防劫持，那为什么HTTPS就能做到这点呢，而HTTP就不行呢？

其实在HTTP协议中，所有的数据都是明文传输的，试想一下，如果黑客拦截到了请求，那所有的数据都可以直接看到，很不安全。HTTPS虽不能称之为绝对的安全，但是一般黑客想劫持也很难，因为HTTPS在HTTP的基础上再加了一个SSL层，数据是加密传输的。

常见的劫持手段有以下几种，我来来详细看看HTTPS是如何规避的。

1、DNS劫持 / 中间人劫持

有这样一个场景：我们访问 www.abc.com 时，要先过DNS查找出此域名对应的IP地址。假设DNS被人劫持了，将 abc.com 这个域名本该绑定的IP（1.2.3.4）换成了黑客的服务器IP（5.6.7.8）。那我们访问abc.com 时其实是和黑客的服务器进行通讯的，黑客可以在服务器里做一些操作，比如说伪造一个网站，或者将用户请求再传到 www.abc.com 真实的服务器中，以此来获取用户的敏感信息。

上面这种场景一旦存在，就构成了中间人攻击。黑客通过劫持了DNS，将用户的域名绑定到了一个非源站的IP上，以此达到劫持的目的。

这在HTTP协议下就直接被劫持了，但在HTTPS协议下就不行。因为黑客的服务器要提供一个CA证书，这样才能保证客户端（即访客）和服务器间建立SSL连接，而这个CA证书是由国际第三方机构颁发的，无法伪造！如果黑客服务器做了自签名证书，那访客在连接到黑客服务器时，浏览器也会提示你网站证书不可靠，如下图示：

就算继续访问，内容在传输过程中是无法被解密的。

请注意：大家千万不要安装一些不受信任的证书！如果安装了不受信任的证书，那此证书颁发方就能解析你的HTTPS请求，很危险。

开启了HTTPS后，就建议把HTTP协议给停了，或者强制重定向到HTTPS协议。

2、内容数据及流量劫持

前面说到了，HTTPS在HTTP的基础上加了SSL层，数据在传输过程中是加密的，加密方式采取的是非对称加密，安全系数很高。所以在数据劫持上不太可能。

在以前我们还经常看到这种现象，浏览器里打开一个网页，然后右下角弹出一个运营商推广的广告，十分恶心，这就是流量劫持。如果用HTTPS协议则不会出现这种广告植入的情况了，这也是由于HTTPS策略决定的，比如说：


HTTPS协议的网站中无法引用HTTP协议的资源；


SSL协议提供数据加密与完整性校验，确保了数据的机密性和完整性。

---

以上就是我的观点，对于这个问题大家是怎么看待的呢？欢迎在下方评论区交流 ~ 我是科技领域创作者，十年互联网从业经验，欢迎关注我了解更多科技知识！

回答于 2019-09-11 08:43:50

HTTPS，是HTTP over SSL的意思，SSL协议是Netscape用于解决传输层安全问题的网络协议，其核心是基于公钥密码学理论实现了对服务器身份认证、数据的私密性保护以及对数据完整性的校验等功能。

网站服务器和客户端使用协商出的会话密钥对交互的数据进行加密/解密操作，对于HTTP协议来说，就是将HTTP请求和应答经过加密之后再发送到网络上。

由此可见，因为SSL协议提供了对服务器的身份认证，所以DNS劫持导致连接错误服务器的情况将会被发现进而终止连接，最终导致DNS挟持攻击无法实现。此外SSL协议还提供数据的加密和完整性校验，这就解决了关键信息被嗅探以及数据内容被修改的可能。

回答于 2019-09-11 08:43:50

HTTPS的话一般就是网站备案后，申请免费的SSL证书或者购买SSL加密证书，然后在NGINX或者其他分发代理请求的服务器中开启SSL加密访问，关闭http这种明文访问，以保证数据的安全。

这需要你去网站进行申请或购买SSL证书，对请求数据进行保护，这是网站常用的一种技术手段，还有一种就是在项目中对请求进行加密校验，这一种是属于服务器的一种加密方式，同过技术手段，都可以防止网站被劫持！

回答于 2019-09-11 08:43:50

HTTPS是基于tls和ssl加密的http协议，网络传输是加密的，因此它的安全是显而易见的，包括防窃听、篡改、劫持。

对于网站恶意劫持行为百度搜索也是出了相应的算法_烽火算法，专门打击这一行为，防止流量劫持！

而防止网站流量被劫持问题采用https协议也是最有力的一种方法;

HTTPS是现行架构下最安全的解决方案，站在安全角度来看，主要有以下几个好处：

1、使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器；

2、HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性。

3、HTTPS是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。

友情小提示:

HTTPS协议的安全是有范围的，在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。

直观来讲https的优点主要以下几点:

 1/2    1 2 下一页 尾页