HTTPS如何防止流量被劫持

流量劫持属于中间人攻击的一种，简单来说就是不法分子在通信两端之间对通信内容进行窃取和篡改，以达到强制植入数据和获取关键信息的目的。目前互联网上发生的流量劫持基本是通过下面两种手段来实施的:

一、域名劫持。通过劫持掉域名的DNS解析结果，将HTTP请求劫持到不法分子指定的IP上，使得客户端与不法分子的服务器建立TCP连接，而不是与目标服务器直接连接，这样一来不法分子就可以对数据传输内容进行窃取或篡改，对用户输入的内容了如指掌。

二、直接流量修改。在数据传输时对页面进行强制内容植入，例如我们经常见到的广告弹窗。在遇到这种情况时，虽然客户端与服务器之间的连接依然是直接连接着的，没有被定向到非目标服务器，但是传输的数据内容其实已经遭到不法分子的篡改。

能够实施流量劫持的根本原因，是因为老旧的HTTP协议无法对通信对方的身份进行校验以及对数据完整性进行校验。如果能解决这个问题，不法分子就无法轻易进行流量劫持。

HTTPS如何防止劫持

HTTPS相比HTTP，在请求开始之前增加了握手的环节，在进行SSL握手时，客户端浏览器会对服务器的身份进行验证，这是通过SSL证书来实现的，SSL证书是由第三方权威机构CA颁发，通俗一点来说就是网站的“身份证”，浏览器需要对“身份证”进行验证来确认服务器的身份，确认证书是否属于目标网站、确认证书是否有受信任机构所颁发等。在握手环节的最后，客户端和服务器还会协商出一个用于加密和解密的通讯密钥。

而在接下来服务器与客户端进行的会话中，都会使用协商好的密钥对交互的数据进行加密/解密，简单来说，就是在HTTP协议的基础上，将HTTP的明文加密成密文再进行传输，在数据送达服务器后再由服务器进行解密，这就避免数据内容被人窃取。

综上所述，在部署了SSL证书之后，因为会对服务器的真实身份进行验证，所以在发生DNS劫持导致连接到其它非目标服务器的情况时，该次访问将会被浏览器发现并阻止，让不法分子的DNS劫持无法顺利实施。此外使用SSL协议还能对数据进行加密和效验完整性，这就避免了传输的数据信息被窃取或篡改的情况发生。

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
让资讯触达的更精准有趣：https://www.0xu.cn/