2)弱驗證

http協議設計的初衷是基于開放的互聯網平臺，因此對會話雙方沒有嚴格的認證機制。httpl.0僅僅提供簡單的認證機制，httpl.l雖然提供了摘要訪問認證(digest access authentication，DAA)機制，采用MD5將用戶名、密碼、請求包頭等進行封裝，由于不提供對實體信息的保護，因此也無法有效解決信息泄露、數據篡改、重放攻擊等安全問題