WEB应用体系之Web传输协议中的缺乏状态跟踪

3)缺乏状态跟踪

HTTP协议采取的请求、响应模式决定了它是一个无状态的协议。客户端在需要与服务器连接时才建立TCP连接，获取完连接数据后，TCP连接就被断开，再次交换数据需要建立新的连接，因此HTTP协议不会维持一个持续的会话。这一机制在Webl.0时代不会产生问题，而在Web2.0时代，由于交互性的要求，需要提供状态机制。Session是用于解决http无协议缺乏状态跟踪的方式，但是也带来了相应的安全问题。对于已经验证过的用户，只Session ID就可以称为身份验证的方式，攻击者如果能获取用户的有效会话Session ID（服务器没有释放这个session ID，无需用户名和密码，就能以此用户的身份去操纵Web应用，这种攻击方式被称为Session欺骗。

针对Http协议存在的安全问题，解决措施是在HTTP的基础上加入了SSL协议，这就是安全套接字层超文本传输协议（Hyper Text Transfer Protocol over Secure Socket Layer，Htts）。 SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。相比Http协议，https具有较高的安全性，但对系统性能的开销更大，随着云计算技术的发展，服务端提高计算禽旨力的成本越来越低，全站https逐步已经成为一些高安全web应用的选择。