网络安全

非对称加密

会生成一个公钥一个私钥，我现在有一个东西，我用公钥给它加密，公钥可以公开给任何一个人，只有对应的私钥可以解密；如果用对称加密最重要的坏处就是需要在网络上传输密码，这样的话就很危险了
实现数字签名
首先，我们生成一对密钥，然后我们对要发送的文件进行处理，例如使用MD5或者sha1的算法进行文件内容的加密，接下来，我们使用私钥对这个加密过的文件进行加密，生成一个数字签名。这个签名是唯一的，只有我们拥有的私钥才能生成它。我们将这个文件和数字签名一起发送给对方。对方收到文件和签名后，会使用我们公开的公钥来解密签名，获得到的文件和这个发送过来的文件进行比较，如果两者一致，说明文件没有被篡改，因为只有拥有私钥的人才能正确生成签名。
如何证明通信的对方就是想要的对方？
这时候就需要使用数字证书。对方需要出示由权威机构颁发的数字证书，证书包含对方的公钥以及权威机构的数字签名。接收方会通过权威机构的公钥来验证数字签名的有效性，确保证书的真实性。一般情况下，计算机在出厂时已经预装了一些权威机构颁发的证书，对这些证书设置为信任状态。因此，当接收方验证通过证书后，就可以信任对方的公钥了。然后可以使用对方的公钥来加密要发送的信息，只有对方拥有对应的私钥才能解密。
数字签名是保证发送的文件过程中没有被篡改，数字证书是保证发送的对方是我想要的对方

中间人攻击

当通信双方进行加密通信的时候，中间人会尝试伪装成合法的通信终端，通过买通CA机构的证书，并且黑掉DNS服务器，将跳转地址跳转到中间人的服务器ip，然后它同时与双方进行解密和转发，使双方认为他们在进行安全通信，但实际上所有的数据都经过了中间人的窃取和篡改。

HTTP协议

超文本传输协议，互联网上的数据都是通过这个协议传输的
当将一个网址在浏览器的地址栏打开，首先浏览器向DNS服务器请求和这个域名关联起来的ip，并在对应端口上建立TCP连接，如果服务器存在并且接受这个连接，浏览器将在这个接口上发送内容(请求行，请求头，请求体)，服务器会通过这个连接响应回复相同类型的内容(响应行，响应头，响应体)
请求
请求方法请求资源路径协议版本
头1：值1
头2：值2
Host:www.baidu.com //请求这个资源时使用的域名
User-Agent:xxxxxx //请求这个资源所使用的浏览器ua字符串(在BOM的navigator中存在)
Content-Length:2343 //以字节为单位的请求体长度
。。。
<回车>
请求体
响应
协议版本响应状态码响应状态码的解释
头1：值1
头2：值2
Data:时间 //响应发送的时间
Content-Length:2343 //以字节为单位的响应体长度
。。。
<回车>
响应体

同源策略

浏览器的同源策略（Same-Origin Policy）是一种安全机制，用于限制网页或脚本在浏览器中与其他源（域名、协议和端口）的文档进行交互的能力。同源策略的目的是防止恶意网站通过脚本等方式获取或篡改与其他源的敏感数据。通俗来说就是A网站不能随意的向B网站的资源发起请求，或者A网站的页面向同一个浏览器的B网站的页面发起沟通，浏览器都会阻止；但B网站的服务器可以解除此限制，通过在响应头里加上特定的头部字段来实现。

cors

跨域的方法就是在响应头中加一个Access-Control-Allow-Origin: *;之后，这个资源就可以被其他人跨域访问了；正常来说如果没有设置响应头的话，可以发出去请求资源，但是由于同源策略机制，不能收到资源。
这里有一个概念是预检请求，预检请求就是当你要请求一个服务器的资源的时候，会对服务器发一个HTTP OPTIONS请求，以获知服务器是否允许该实际请求，这样可以避免跨域请求对服务器的用户数据产生未预期的影响。
简单请求不需要预检请求，若请求满足所有下述条件，则可以视为简单请求。
1.使用下列方法：get，head，post
2.只允许设置这些头部

3.content-Type只能是这几个