相信大家對於HTTP與HTTPS協議都或多或少聽說過，HTTP協議在Web中的應用是十分廣泛的，只不過最近幾年HTTPS慢慢火熱起來了，大到BAT這類企業的網站預設都是HTTPS協議，小到一些個人部落格網站也啟用了HTTPS來嚐鮮。

我們都聽人家說過，HTTPS比HTTP要安全、防劫持，那為什麼HTTPS就能做到這點呢，而HTTP就不行呢？

其實在HTTP協議中，所有的資料都是明文傳輸的，試想一下，如果駭客攔截到了請求，那所有的資料都可以直接看到，很不安全。HTTPS雖不能稱之為絕對的安全，但是一般駭客想劫持也很難，因為HTTPS在HTTP的基礎上再加了一個SSL層，資料是加密傳輸的。

常見的劫持手段有以下幾種，我來來詳細看看HTTPS是如何規避的。

1、DNS劫持 / 中間人劫持

有這樣一個場景：我們訪問 www.abc.com 時，要先過DNS查找出此域名對應的IP地址。假設DNS被人劫持了，將 abc.com 這個域名本該繫結的IP（1.2.3.4）換成了駭客的伺服器IP（5.6.7.8）。那我們訪問abc.com 時其實是和駭客的伺服器進行通訊的，駭客可以在伺服器裡做一些操作，比如說偽造一個網站，或者將使用者請求再傳到 www.abc.com 真實的伺服器中，以此來獲取使用者的敏感資訊。

上面這種場景一旦存在，就構成了中間人攻擊。駭客透過劫持了DNS，將使用者的域名繫結到了一個非源站的IP上，以此達到劫持的目的。

這在HTTP協議下就直接被劫持了，但在HTTPS協議下就不行。因為駭客的伺服器要提供一個CA證書，這樣才能保證客戶端（即訪客）和伺服器間建立SSL連線，而這個CA證書是由國際第三方機構頒發的，無法偽造！如果駭客伺服器做了自簽名證書，那訪客在連線到駭客伺服器時，瀏覽器也會提示你網站證書不可靠，如下圖示：

就算繼續訪問，內容在傳輸過程中是無法被解密的。

請注意：大家千萬不要安裝一些不受信任的證書！如果安裝了不受信任的證書，那此證書頒發方就能解析你的HTTPS請求，很危險。

開啟了HTTPS後，就建議把HTTP協議給停了，或者強制重定向到HTTPS協議。

2、內容資料及流量劫持

前面說到了，HTTPS在HTTP的基礎上加了SSL層，資料在傳輸過程中是加密的，加密方式採取的是非對稱加密，安全係數很高。所以在資料劫持上不太可能。

在以前我們還經常看到這種現象，瀏覽器裡開啟一個網頁，然後右下角彈出一個運營商推廣的廣告，十分噁心，這就是流量劫持。如果用HTTPS協議則不會出現這種廣告植入的情況了，這也是由於HTTPS策略決定的，比如說：

HTTPS協議的網站中無法引用HTTP協議的資源；

SSL協議提供資料加密與完整性校驗，確保了資料的機密性和完整性。

HTTPS的話一般就是網站備案後，申請免費的SSL證書或者購買SSL加密證書，然後在NGINX或者其他分發代理請求的伺服器中開啟SSL加密訪問，關閉http這種明文訪問，以保證資料的安全。

這需要你去網站進行申請或購買SSL證書，對請求資料進行保護，這是網站常用的一種技術手段，還有一種就是在專案中對請求進行加密校驗，這一種是屬於伺服器的一種加密方式，同過技術手段，都可以防止網站被劫持！

HTTPS是基於tls和ssl加密的http協議，網路傳輸是加密的，因此它的安全是顯而易見的，包括防竊聽、篡改、劫持。

對於網站惡意劫持行為百度搜索也是出了相應的演算法_烽火演算法，專門打擊這一行為，防止流量劫持！

而防止網站流量被劫持問題採用https協議也是最有力的一種方法;

HTTPS是現行架構下最安全的解決方案，站在安全形度來看，主要有以下幾個好處：

1、使用HTTPS協議可認證使用者和伺服器，確保資料傳送到正確的客戶機和伺服器；

2、HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議，要比http協議安全，可防止資料在傳輸過程中不被竊取、改變，確保資料的完整性。

3、HTTPS是現行架構下最安全的解決方案，雖然不是絕對安全，但它大幅增加了中間人攻擊的成本。

友情小提示:

HTTPS協議的安全是有範圍的，在駭客攻擊、拒絕服務攻擊、伺服器劫持等方面幾乎起不到什麼作用。

直觀來講https的優點主要以下幾點:

1、HTTPS具有更好的加密效能，避免使用者資訊洩露；

2、HTTPS複雜的傳輸方式，降低網站被劫持的風險；

3、HTTPS綠鎖表示可以提升使用者對網站信任程度；

4、基礎成本可控，證書及伺服器已經有了成型的支援方案；

5、網站載入速度可以透過cdn等方式進行彌補，但是安全不能忽略；

6、HTTPS是網路的發展趨勢，早晚都要做；

7、可以有效防止山寨、映象網站；

HTTPS，是HTTP over SSL的意思，SSL協議是Netscape用於解決傳輸層安全問題的網路協議，其核心是基於公鑰密碼學理論實現了對伺服器身份認證、資料的私密性保護以及對資料完整性的校驗等功能。

網站伺服器和客戶端使用協商出的會話金鑰對互動的資料進行加密/解密操作，對於HTTP協議來說，就是將HTTP請求和應答經過加密之後再發送到網路上。

由此可見，因為SSL協議提供了對伺服器的身份認證，所以DNS劫持導致連線錯誤伺服器的情況將會被發現進而終止連線，最終導致DNS挾持攻擊無法實現。此外SSL協議還提供資料的加密和完整性校驗，這就解決了關鍵資訊被嗅探以及資料內容被修改的可能。