我有一个带有表单的HTTP页面。如果我将操作设置为HTTPS页面,请求是否安全?浏览器在将数据发送到网络之前是否会处理所有数据?或者我应该在整个网站上使用HTTPS吗?
答案 0 :(得分:23)
是的,如果您的表单发布到的位置是HTTPS,那么它将是安全的。
然而,用户可能会惊讶地发现页面上的浏览器中没有带图标的锁定图标。从两个页面都是HTTPS的可用性角度来看,你可能会更好。
答案 1 :(得分:11)
没有。 Troy Hunt识别出一个简单的man-in-the-middle attack,表明从HTTP发布到HTTPS绝不是安全的。随着免费WiFi的普及,这种攻击将非常简单。
http://www.troyhunt.com/2013/05/your-login-form-posts-to-https-but-you.html
答案 2 :(得分:7)
是。只要需要安全的请求是https,你就是好的。
话虽这么说,许多关键网站,包括Gmail,已经停止打扰他们网站的小部分雕刻为https,只是使他们的整个网站https。它更容易,更安全,而且你在性能方面几乎没有损失。
答案 3 :(得分:3)
通过HTTPS发布时,从表单到服务器的实际数据传输已加密。如果这就是你所说的安全,那么是的,它是安全的。
我认为你在问题中得到的是,在发布之前阅读表单的客户端内容是什么。这当然是可能的,无论是否是HTTPS。
另一方面,您可能应该使用HTTPS作为实际表单。一些浏览器警告用户,因为他们的帖子通过HTTP / HTTPS边界重定向。另外,我不认为您的用户会很乐意填写没有安全图标的表单。
答案 4 :(得分:3)
不要这样做!
考虑MITM攻击,攻击者坐在服务器和客户端之间的电线上,在登录表单到达客户端之前修改登录表单。登录表单现在包含一个键盘记录程序或将POST操作指向网络钓鱼页面而不是真实服务器。最终用户没有警告或UI提示,因此他们继续提交表单。
考虑一个MITM攻击,攻击者会部署一个免费的Wifi"在咖啡店(通过智能手机热点或其他)。当毫无戒心的人使用这个"免费Wifi"要使用HTTP表单登录,即使它对HTTPS进行POST,攻击者也可以通过分析其热点网络流量来查看用户的明文凭据。
参考文献:
答案 5 :(得分:2)
如果您将操作设置为HTTPS,那么这确实是安全的。在通过HTTPS发生任何事情之前,必须进行握手,并且发生操作时发送数据的浏览器必须执行此操作。