我们都知道HTTPS能够加密信息，以免敏感信息被第三方获取，所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议。

客户端在使用HTTPS方式与Web服务器通信时有以下几个步骤：

客户使用https的URL访问Web服务器，要求与Web服务器建立SSL连接。

Web服务器收到客户端请求后，会将网站的证书信息(证书中包含公钥)传送一份给客户端。

客户端的浏览器与Web服务器开始协商SSL连接的安全等级，也就是信息加密的等级。

客户端的浏览器根据双方同意的安全等级建立会话密钥，然后利用网站的公钥将会话密钥加密并传送给网站。

Web服务器利用自己的私钥解密出会话密钥。

Web服务器利用会话密钥加密与客户端之间的通信。

尽管HTTPS并非绝对安全，掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击，但HTTPS仍是现行架构下最安全的解决方案，主要有以下几个好处：

使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器。

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比HTTP协议安全，可防止数据在传输过程中被窃取、改变，确保数据的完整性。

HTTPS是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。

谷歌曾在2014年8月份调整搜索引擎算法，并称“比起同等HTTP网站，采用HTTPS加密的网站在搜索结果中的排名将会更高”。

虽然说HTTPS有很大的优势，但相对来说，它还是存在一些不足之处：

HTTPS协议握手阶段比较费时，会使页面的加载时间延长近50%，增加10%到20%的耗电。

HTTPS连接缓存不如HTTP高效，会增加数据开销和功耗，甚至已有的安全措施也会因此而受到影响。

SSL证书需要钱，功能越强大的证书费用越高，个人网站、小网站一般不会用。

SSL证书通常需要绑定IP，不能在同一IP上绑定多个域名，IPv4资源不可能支撑这个消耗。HTTPS协议的加密范围也比较有限，在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的是，SSL证书的信用链体系并不安全，特别是在某些国家可以控制CA根证书的情况下，中间人攻击一样可行。

HTTPS协议需要到CA申请证书，一般免费证书较少，因而需要一定费用。

HTTP是超文本传输协议，信息是明文传输；HTTPS则是具有安全性的SSL加密传输协议。

HTTP和HTTPS使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。

HTTP的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比HTTP协议安全。

HTTP的URL参数在浏览器历史记录中保留，而HTTPS的参数不会被保留。

HTTP的参数传递有长度限制，而HTTPS没有。

HTTP比HTTPS更不安全，因为参数直接暴露在URL上，所以不能用来传递敏感信息。

GET请求的参数通过URL传递，而POST请求的参数放在请求体中。

GET请求产生一个TCP数据包，而POST请求产生两个TCP数据包。

Session和Cookie是Web开发中常用的状态管理机制，它们在保存用户信息和维持用户会话方面有所不同。

保存位置：Session数据保存在服务器端，而Cookie数据保存在客户端浏览器。

保存方式：Session默认被存在服务器的一个文件里，可以手动设置存储位置；Cookie默认保存在客户端内存中，如果设置了过期时间就保存在硬盘中。

依赖关系：Session依赖Cookie来识别sessionid，如果浏览器禁用了Cookie，Session也会失效，此时可以通过URL传递sessionid。

安全

性：因为Session数据保存在服务器端，所以Session的安全性比Cookie高。

尺寸大小：Session基本上没有大小限制，而Cookie保存的内容比较小，具体由浏览器决定。

服务器性能：Session对服务器的压力会更大一些，而Cookie放在客户端，所以对服务器基本没影响。

TCP（Transmission Control Protocol）和UDP（User Datagram Protocol）是互联网协议套件中的两个主要传输层协议，它们有以下区别：

TCP是面向连接的协议，而UDP是无连接的协议。TCP在通信之前需要建立连接，而UDP不需要。

TCP提供可靠的服务，确保数据传输的可靠性和顺序，而UDP不保证可靠性，尽最大努力交付数据。

TCP面向字节流，将数据看作连续的字节流，而UDP是面向报文的，将数据看作独立的报文。

TCP有拥塞控制机制，会根据网络情况调整发送数据的速率，而UDP没有拥塞控制，发送数据不受限制。

TCP是一对一的通信，即一个发送方和一个接收方进行通信，而UDP支持一对一、一对多、多对一和多对多的通信。

TCP的首部开销较大，占用20个字节，而UDP的首部开销较小，只有8个字节。

TCP/IP是互联网协议套件，也被称为互联网通信协议族，是构建和组织互联网的基础通信架构。

TCP/IP协议族下的两个核心协议是TCP（传输控制协议）和IP（网际协议）。它们是在网络通信协议分层结构中的关键协议，被称为TCP/IP协议栈。

TCP/IP协议提供了点对点的链接机制，定义了数据的封装、定址、传输、路由以及在目的地如何接收等标准化过程。

协议栈按照不同功能将协议分层，每个层次实现不同的通信协议。TCP/IP协议族的各种协议根据其功能不同被归类到四个层次结构中，通常被视为是简化的七层OSI模型。

常见的接口类型包括：

HTTP接口：基于HTTP协议的接口，是应用最广泛的网络协议之一，大多数基于浏览器/服务器架构的软件系统使用HTTP接口。

Web Service接口：系统对外的接口，根据提供的方法引用提供的接口，从而获取数据。

RESTful接口：描述了一种架构式的网络系统，基于标准HTTP方法和URL进行通信，支持系统间资源的交互。

常见的API文档模板包括：

Swagger

FlatDoc

RestDoc

API Blueprint

Slate

Miredot

Cookie是一种用于在客户端存储数据的机制，它具有简便性、可扩展性和可用性，可用于解决HTTP协议无状态的问题。Cookie的作用主要包括：

会话管理：通过存储会话标识，实现用户状态的管理和跟踪。

用户个性化设置：记录用户的偏好和设置，提供个性化的用户体验。

购物车功能：在电商网站中存储用户选择的商品信息，方便用户进行购物。

记住登录状态：在用户登录后，存储登录凭证，使用户在一段时间内免登录访问。

在进行Cookie测试时，可以关注以下测试点：

禁止使用Cookie：测试在禁用Cookie的情况下系统是否能正常工作。

Cookie存储路径：检查Cookie存放路径是否与设置一致。

Cookie过期检查：验证存放的Cookie在过期后是否被自动删除。

检查浏览器中Cookie选项：测试不同浏览器的Cookie选项，验证是否可以正常接受和存储Cookie。

浏览器删除Cookie：通过浏览器的设置，测试是否能正确删除Cookie文件。

Cookie加密：验证在提交敏感信息时，数据是否能够正确加密。

Cookie保存信息：验证Cookie是否能正常保存和读取所需的信息。

篡改Cookie：测试修改Cookie内容后，系统是否能正确识别和处理。

Cookie的兼容性：在不同类型或不同版本的浏览器中，测试Cookie文件的兼容性。

刷新操作对Cookie的影响：测试刷新操作后是否重新生成或修改Cookie文件。

检查Cookie内容存储是否完整正确：对加密的Cookie内容进行解密，检查是否按设计要求存储了相关的所有信息。

检查Cookie的更新和添加：多次进行相同操作或设置，检查是否更新或添加了新的Cookie文件。

统计功能验证：如果使用Cookie来统计次数或记录状态，验证统计功能是否正常工作。

数据安全性：HTTPS使用SSL/TLS协议对通信进行加密，确保数据在传输过程中不被第三方获取、篡改或窃听。它通过使用对称加密、非对称加密和数字证书等技术，提供了更高级别的数据保护，保证了敏感信息的机密性和完整性。

身份验证：HTTPS可以对服务器进行身份验证，确保与预期的服务器建立连接。在接口测试中，这意味着可以验证接口的终端点是否为预期的合法服务器，避免了中间人攻击和伪造服务器的风险。

防止数据篡改：HTTPS使用消息摘要算法（如SHA）和数字签名，可以确保数据在传输过程中不被篡改。接口测试中，这保证了请求和响应数据的完整性，确保数据的一致性和准确性。

合规性和安全标准：使用HTTPS协议符合许多行业和安全标准的要求，如PCI DSS（支付卡行业数据安全标准）。在接口测试中，如果涉及到处理敏感数据或符合特定标准的场景，使用HTTPS可以确保符合合规性要求，并提供额外的安全层级。

排名提升和用户信任：谷歌等搜索引擎更倾向于将使用HTTPS加密的网站排名较高，因为它们提供更安全的用户体验。在接口测试中，如果接口涉及到公共网站或需要提升用户信任的场景，使用HTTPS可以提升网站的搜索排名并增加用户的信任度。

抗攻击能力增强：相比HTTP协议，HTTPS大大增加了中间人攻击的成本。HTTPS提供了更强的防护能力，可以抵御黑客攻击、拒绝服务攻击和服务器劫持等威胁。在接口测试中，这意味着可以更好地保护接口免受安全漏洞和攻击的影响。

兼容性和标准化：HTTPS是广泛使用的标准协议，与各种系统和平台兼容性良好。在接口测试中，使用HTTPS可以确保接口与其他系统的兼容性，并保证与行业标准的一致性。

最后： 为了回馈铁杆粉丝们，我给大家整理了完整的软件测试视频学习教程，朋友们 如果需要可以自行免费领取 【保证100%免费】

软件测试面试文档

我们学习必然是为了找到高薪的工作，下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料，并且有字节大佬给出了权威的解答，刷完这一套面试资料相信大家都能找到满意的工作。