為什么說(shuō)出現(xiàn)https了就不會(huì)發(fā)生頁(yè)面劫持呢？

https代表安全的超文本傳輸協(xié)議，它使用SSL/TLS協(xié)議建立加密鏈接，從而確保了數(shù)據(jù)傳輸?shù)耐ㄐ虐踩?。https本質(zhì)上是基于SSL的http，SSL使用SSL證書(shū)（也稱為數(shù)字證書(shū)）建立加密的鏈接。

http與https

http以超文本格式在瀏覽器和Web服務(wù)器之間傳輸數(shù)據(jù)，稍微攔截下就可以知道傳輸?shù)臄?shù)據(jù)內(nèi)容；而http則以加密形式傳輸數(shù)據(jù)，即使黑客設(shè)法攔截了通信，但由于數(shù)據(jù)已加密，他們也束手無(wú)策，因此，https可防止傳輸數(shù)據(jù)被讀取或者被修改。

SSL如何運(yùn)作？

SSL從根本上使用以下概念：非對(duì)稱加密和對(duì)稱加密。

非對(duì)稱加密

在非對(duì)稱加密算法中，公鑰和私鑰往往是一對(duì)，如果使用公鑰對(duì)數(shù)據(jù)進(jìn)行加密，那么只有對(duì)應(yīng)的私鑰才能解密。相對(duì)的，如果是使用私鑰加密的數(shù)據(jù)，只有對(duì)應(yīng)的公鑰才能解密。最常用的非對(duì)稱密鑰加密算法包括EIGamal，RSA，DSA，橢圓曲線技術(shù)和PKCS。

對(duì)稱加密

在對(duì)稱密碼學(xué)中，只有一個(gè)密鑰可以對(duì)數(shù)據(jù)進(jìn)行加密和解密。發(fā)送者和接收者都應(yīng)具有此密鑰，只有他們才知道。使用最廣泛的對(duì)稱算法是AES-128，AES-192和AES-256。

通過(guò)SSL進(jìn)行數(shù)據(jù)傳輸

SSL協(xié)議使用非對(duì)稱和對(duì)稱加密技術(shù)來(lái)安全地傳輸數(shù)據(jù)。下圖說(shuō)明了SSL通信的步驟：

如上圖所示，瀏覽器與Web服務(wù)器（或任何其他兩個(gè)系統(tǒng)）之間的SSL通信主要分為兩個(gè)步驟：SSL握手和實(shí)際數(shù)據(jù)傳輸。

SSL握手

通過(guò)SSL進(jìn)行的通信始終始于SSL握手。SSL握手是一種非對(duì)稱加密，允許瀏覽器在開(kāi)始實(shí)際數(shù)據(jù)傳輸之前驗(yàn)證Web服務(wù)器，獲取公鑰并建立安全連接。

上圖說(shuō)明了SSL握手中涉及的步驟：

客戶端發(fā)送“客戶端問(wèn)候”消息。這包括客戶端的SSL版本號(hào)，密碼設(shè)置，特定于會(huì)話的數(shù)據(jù)以及服務(wù)器使用SSL與客戶端進(jìn)行通信所需的其他信息。服務(wù)器以“服務(wù)器問(wèn)候”消息響應(yīng)。這包括服務(wù)器的SSL版本號(hào)，密碼設(shè)置，特定于會(huì)話的數(shù)據(jù)，帶有公共密鑰的SSL證書(shū)以及客戶端通過(guò)SSL與服務(wù)器進(jìn)行通信所需的其他信息。客戶端從CA（證書(shū)頒發(fā)機(jī)構(gòu)）驗(yàn)證服務(wù)器的SSL證書(shū)并驗(yàn)證服務(wù)器。如果身份驗(yàn)證失敗，則客戶端將拒絕SSL連接并引發(fā)異常。如果認(rèn)證成功，請(qǐng)繼續(xù)執(zhí)行步驟4?？蛻舳藙?chuàng)建會(huì)話密鑰，并使用服務(wù)器的公共密鑰對(duì)其進(jìn)行加密，然后將其發(fā)送到服務(wù)器。如果服務(wù)器已請(qǐng)求客戶端身份驗(yàn)證（主要是在服務(wù)器到服務(wù)器的通信中），則客戶端會(huì)將自己的證書(shū)發(fā)送到服務(wù)器。服務(wù)器使用其私鑰解密會(huì)話密鑰，并將確認(rèn)發(fā)送給使用會(huì)話密鑰加密的客戶端。

因此，在SSL握手結(jié)束時(shí)，客戶端和服務(wù)器都具有有效的會(huì)話密鑰，它們將用于加密或解密實(shí)際數(shù)據(jù)。此后將不再使用公鑰和私鑰。

實(shí)際數(shù)據(jù)傳輸

客戶端和服務(wù)器現(xiàn)在使用共享的會(huì)話密鑰來(lái)加密和解密實(shí)際數(shù)據(jù)并進(jìn)行傳輸。這是在兩端使用相同的會(huì)話密鑰完成的，因此，這是對(duì)稱密碼術(shù)。實(shí)際的SSL數(shù)據(jù)傳輸使用對(duì)稱密碼，因?yàn)榕c非對(duì)稱密碼相比，它很容易且占用的CUP較少。

因此，SSL從根本上使用非對(duì)稱密碼學(xué)和對(duì)稱密碼學(xué)工作。在現(xiàn)實(shí)生活中實(shí)現(xiàn)SSL通信涉及某些基礎(chǔ)架構(gòu)，稱為“公共密鑰基礎(chǔ)架構(gòu)”。

總而言之，https通過(guò)非對(duì)稱加密和對(duì)稱加密算法，保證了數(shù)據(jù)傳輸?shù)目煽啃?，希望我的回答能夠給大家?guī)?lái)幫助！