一、URL：我们访问网络的 “地址门牌”

URL（统一资源定位符），就是我们在浏览器里输入的网址，它的作用是定位互联网上的资源。
标准结构

协议://域名:端口/路径?参数#锚点

以 https://www.baidu.com 为例：

• https：传输协议（安全超文本传输协议）
• www.baidu.com：域名（方便记忆，最终会解析为 IP）
• IP：服务器真实地址，DNS 负责把域名翻译成 IP
• 作用：告诉浏览器 “去哪里、用什么方式、找什么资源”

一句话总结：URL 定位资源 → 域名解析 IP → 找到服务器

二、HTTP：互联网的 “通用语言”

HTTP（超文本传输协议） 是客户端与服务器之间传输数据的规则，无连接、无状态、明文传输。

核心特点

• 基于 请求 - 响应 模型
• 明文传输，数据不加密
• 端口默认 80
• 常见请求方法：GET（查）、POST（传）、PUT、DELETE
• HTTP 状态码：
  • 2xx：成功（200 OK）
  • 3xx：重定向
  • 4xx：客户端错误（404 找不到）
  • 5xx：服务器错误（500 内部错误）

三、HTTP 报文：通信的 “包裹”

HTTP 传输的数据单位叫报文，分为请求报文和响应报文。

报文结构（三部分）

1. 请求 / 响应行：方法、URL、状态码
2. 首部（Header）：附加信息（类型、长度、缓存等）
3. 主体（Body）：真正传输的数据

HTTP 最大问题：报文全程明文，抓包即可查看内容。

四、代理与 VPN：网络的 “中转站”

1. 代理（Proxy）

• 代替客户端发送请求，服务器只看到代理 IP
• 作用：隐藏 IP、加速访问、过滤内容
• 只是中间转发，不加密整条链路

2. VPN（虚拟专用网络）

• 建立加密通道，数据全程加密
• 更安全，可突破限制、保护隐私
• 代理 ≠ VPN：代理转发，VPN 加密

五、HTTPS = HTTP + 加密 + 认证 + 完整性保护

HTTPS = HTTP + SSL/TLS，端口默认 443，解决 HTTP 三大致命问题：

1. 窃听：明文被看光
2. 篡改：数据被修改
3. 冒充：钓鱼网站伪装官方

HTTPS 三大安全能力

• 加密：别人看不懂
• 校验：数据不被改
• 认证：确认网站真实身份

六、对称加密 & 非对称加密：HTTPS 的核心技术

1. 对称加密

• 加密和解密用同一把密钥
• 速度快、效率高
• 问题：密钥传输不安全，容易被截获

2. 非对称加密

• 一对钥匙：公钥 + 私钥
• 公钥加密 → 只能私钥解密
• 私钥加密 → 只能公钥解密
• 更安全，但速度慢

HTTPS 实际用法

先用非对称加密交换对称密钥，再用对称加密传输数据→ 兼顾安全 + 速度。

七、中间人攻击：为什么只加密还不够？

即使使用非对称加密，仍存在中间人攻击：

1. 攻击者截获公钥
2. 把自己的假公钥发给客户端
3. 客户端用假公钥加密，数据被攻击者破解

根源：无法确认公钥的真实归属。

八、CA、数字证书、数字签名：解决信任问题

为了防止中间人，引入第三方权威机构 CA。

1. CA（证书颁发机构）

• 受信任的第三方，负责验证网站身份
• 浏览器 / 系统内置信任列表

2. 数字证书

• 网站向 CA 申请
• 包含：公钥、网站信息、有效期、签名
• 作用：证明公钥是真实网站的

3. 数字签名

• CA 用自己的私钥加密网站信息
• 客户端用 CA 公钥验证
• 验证通过 → 证书可信、公钥可信

完整流程：访问网站 → 拿到证书 → 验证签名 → 确认公钥安全 → 建立加密连接

九、全套知识串联（一张图看懂）

1. 输入 URL → DNS 解析成 IP
2. 建立连接，使用 HTTP/HTTPS 规则
3. 传输 HTTP 明文报文 或 HTTPS 加密报文
4. 可通过 代理 / VPN 中转
5. HTTPS 用对称 + 非对称加密
6. 用 CA 证书 + 数字签名 防止中间人攻击

十、面试高频问答（背会直接用）

1. HTTPS 比 HTTP 安全在哪里？加密传输、身份认证、防篡改。
2. 对称和非对称加密区别？对称一把钥匙，速度快；非对称一对钥匙，更安全。
3. 为什么需要 CA 证书？防止中间人攻击，确认公钥归属。
4. 500 状态码是什么？服务器内部错误。
5. URL 作用是什么？定位网络资源，域名最终指向 IP。