面試常問的http的缺點

http協議中可能存在信息竊聽或者身份假裝等安全問題，

http主要有這些不足：

一、 通訊使用明文（不加密），內容可能會被竊聽

因爲 HTTP 自己不具有加密的功能，因此也沒法作到對通訊總體（使 用 HTTP 協議通訊        的請求和響應的內容）進行加密。即，HTTP 報文 使用明文（指未通過加密的報文）方          式發送。

TCP/IP 是可能被竊聽的網絡 若是要問爲何通訊時不加密是一個缺點，這是由於，按TCP/IP 協議族的工做機制，通訊內容在全部的通訊線路上都有 可能遭到窺視。 所謂互聯網，是由能連通到全世界的網絡組成的。不管世界哪一個 角落的服務器在和客戶端通訊時，在此通訊線路上的某些網絡設 備、光纜、計算機等都不多是我的的私有物，因此不排除某個 環節中會遭到惡意窺視行爲。 即便已通過加密處理的通訊，也會被窺視到通訊內容，這點和未 加密的通訊是相同的。只是說若是通訊通過加密，就有可能讓人 沒法破解 報文信息的含義，但加密處理後的報文信息自己仍是會 被看到的

     

二、不驗證通訊方的身份就可能遭遇假裝

     HTTP 協議中的請求和響應不會對通訊方進行確認。也就是說存在「服 務器是否就是發送請求中 URI 真正指定的主機，返回的響應是否真的 返回 到實際提出請求的客戶端」等相似問題。

 任何人均可發起請求

在 HTTP 協議通訊時，因爲不存在確認通訊方的處理步驟，任何 人均可以發 起請求。另外，服務器只要接收到請求，無論對方是 誰都會返回一個響應（但也僅限於發送端的 IP 地址和端口號沒 有被 Web 服務器設定限制訪問的前提下）。

2.一、 沒法肯定請求發送至目標的 Web 服務器是不是按真實意 圖返回響應的那臺服務器。 有可 能是已假裝的 Web 服務 器。 

2.二、沒法肯定響應返回到的客戶端是不是按真實意圖接收響 應的那個客戶端。 有多是已假裝 的客戶端。  

2.三、沒法肯定正在通訊的對方是否具有訪問權限。 由於某些 Web 服務器上保存着重要的信息只想發給特定用戶通 信的權限。 

 2.四、 沒法斷定請求是來自何方、出自誰手。 即便是無心義的請求也會照單全收。 沒法阻止海量請    求下的 DoS 攻擊（Denial of Service， 拒絕服務攻擊）。

3　沒法證實報文完整性， 可能已遭篡改

因爲 HTTP 協議沒法證實通訊的報文完整性，所以，在請求或響 應送出以後直到對方接收以前的這段時間內，即便請求或響應的 內容遭到篡改，也沒有辦法獲悉。 換句話說，沒有任何辦法確認，發出的請求 / 響應和接收到的請 求 / 響應是先後相同的。

好比，從某個 Web 網站上下載內容，是沒法肯定客戶端下載的 文件和服務器上存放的文件是否先後一致的。文件內容在傳輸途 中可能已經被篡改成其餘的內容。即便內容真的已改變，做爲接 收方的客戶端也是覺察不到的。 像這樣，請求或響應在傳輸途中，遭攻擊者攔截並篡改內容的攻 擊稱爲中間人攻擊（Man-in-the-Middle attack，MITM）。

若是感興趣等到繼續添加HTTPS 模塊在沒解決HTTP的缺點