https
https要解决的问题就是中间人攻击,
1、中间人攻击
2、中间人攻击的方式:
a、域名污染
由于我们访问一个域名时需要先进行域名解析,即向DNS服务器请求某个域名的IP地址。例如taobao.com我这边解析的IP地址为:
在浏览器观看就是Headers->General->Remote Address:xxxxx.x.x.xxx。在经过DNS的中间链点可能会抢答,返回给你一个错误的IP地址,这个IP地址就指向中间人的机器。
b、APR欺骗
广域网的传输是用的IP地址,而在局域网里面是用的物理地址。
例如路由器需要知道连接它的设备的物理地址它才可以把数据包发给你,它会通过一个ARP的广播,向所有设备查询某个IP地址的物理地址是多少,路由器发了一个广播,询问192.168.1.100的物理地址是多少,由于没有人响应,所以它每隔1秒就重新发了个包。由于这个网络上的所有机器都会收到这个包,所以这个时候就可以欺骗路由器。
3.https是应对中间人攻击的唯一方式
搞明白 WebSocket 与 TCP/IP
1、在建立一个网页的websocket之前先要建立一个http连接;
2、关于握手,最少的握手次数应该是两次,三次可以提高可靠性,四次、五次就没必要了,就会陷入上面山头攻打无限循环确认的漩涡。
3、分析了握手次数的原因,很容易可以知道为什么挥手要四次了。前两次挥手让连接处于半关闭状态,此时主动关闭方不可再向被动关闭方发送数据,而被动关闭可继续向主动关闭方发送数据。
实现一个web聊天
实现一个http的web的实时聊天:
1、轮询,例如每隔2s就发一个请求向服务端查询,但是这种方法会造成资源的浪费。
2、第二种办法使用Service Worker实现浏览器的Push,
3、websocket
http://mp.weixin.qq.com/s/JEnRJRZtnZ-eErMCefGy1Q
