HTTP 通信中有什么方式防止重要信息被监听窃取

那个好办法就是上 TLS （ HTTPS ），或者外部套一个成本更高的套子（虚拟专用网之类的），其它 HTTP 协议范畴内的方法可以作辅助。

在 HTTP 之内再实现一个 TLS 肯定不太像是好主意

@honeycomb 那终极解决方案是 https 了吗？全程 https 会不会影响效率？

如果能实现的话 https 存在的意义又是什么

shttp

按照 LZ 举的例子, 实际上可以通过服务端验证更多信息 /算法的方式解决, 比如说可以在这些 session 值中添加更多验证(比如 IP)。
回到主题, HTTPS 一定是最简单且最靠谱的方法, 如 @honeycomb 所说, 如果在 HTTP 内实现一套 TLS 不光费脑子, 性能方面的开销我相信不会比上 HTTPS 要少。当然, 如果真想实现肯定有其他五花八门的方法。比如说加公私钥什么的。
(半吊子写程序的, 回答肯定非常不专业, 见谅)

@cc959798 https://istlsfastyet.com

Session 绑定 ip 不过太容易误伤了

HTTPS 是唯一正解，还有一堆简单、迅速、优雅的错误解法，比如只有登陆时 HTTPS 交换密钥，之后每个 HTTP 请求都在加了抗 CSRF 的时间 token 前提下（不然可重放）再用密钥签名请求，你觉得这样实现一套简单么

等你做到了,
那么恭喜你,
你重新发明了 https

h2 了解下

上了 https 也不敢说信息不被监听窃取

@xiangyuecn 是指不校验证书的情况吗？不校验证书为什么用 tls 呢。。。

唯一正解：HTTPS

@dawniii 你说的我不懂啊，也许数据在发送之前、到达服务器之前可能就被窃取了。就算校验证书也会存在问题：
1、客户端存在被信任的恶意根证书
2、客户端直接接受伪造的证书（中间人）不给任何提示（程序员实偷懒，现代码简单，校验证书实现代码就一句 return true 呵呵）。除非果程序断拒绝错误证书，否则给用户提示选择的话，点接受（忽略）错误证书也是会有的（ doge

https 并不能直接解决常见的 xss、csrf：
A、前后端各种漏洞
B、服务器被黑
C、客户端数据泄露（恶意访问敏感数据，包括不限于病毒木马、流氓浏览器、插件、代理、用户人为因素）

@xiangyuecn 2 这可能太极端了, 除非客户端用的是自己写的浏览器, 否则主流浏览器不可能出现 return true 或者程序员偷懒不验证的问题。LZ 说的是 [ HTTP 通信 ] , XSS 之类的好像不属于这个范围了。

@xiangyuecn 您前面说的客户端被种恶意根证书，黑客有这个权限的话，在客户端那边黑客该有的不该有的权限基本也都有了。。。

后面说的 xss 和 csrf 本来就不是 tls 负责的，这算是业务上面的漏洞。tls 只是保证数据在传输过程中的安全，应该是满足 up 的需求。

https + HPKP

@xiangyuecn
第一恶意根证书，就好比你家进了小偷(小偷在你家装了摄像头)，你没办法避免的，你说是浏览器环境。

第二，根本没有一劳永逸的安全解决方案

@Oceanhime 没写过浏览器（关键是不会写，哈哈），app 套一个 webview 还是会的，不光是 Android，ios 估计也有这种问题。


@dawniii 单纯的数据传输我能想到的也就是证书的问题了，不极端点目测大部分情况下其实算是安全的。其实我想的通信过程不仅仅是数据传输，这之前还要有规范的数据格式，之前的之前还要有数据的生成，之后的数据接收解码，数据的使用。哈哈，写的啰嗦了，不管是哪个地方有问题，都会导致整个系统有问题，问题出的多的往往是开头和结尾处

@des 精辟