我不是100%确定我使用的是正确的术语,或者我是否遗漏了需要回答的信息。所以请耐心等待我。
我的客户希望在其网站的成员区域内包含来自外部来源的视频供稿。会员区域通过https传送,视频传送不是。这会危及安全数据吗?
我知道有些浏览器提醒用户页面上加载了安全和非安全的数据。坦率地说,我的客户对此很满意,但如果用户帐户信息(特别是会话等)受到损害,我不想继续前进。
感谢您的帮助。
答案 0 :(得分:4)
如果您的网页引用了未加密的Javascript或Flash,那么您完全没有受到保护;攻击者可以替换他想要的任何Javascript,并且可以窃取非HTTP专用cookie,或者发出冒充当前用户的任意HTTP请求。
如果您引用未加密的CSS,您仍然容易受到攻击;攻击者可以随意修改你的布局,can execute arbitrary code in IE and Firefox。
如果您参考未加密的图片,那么您大部分都可以;攻击者可以做的就是查看Referer标题并找出用户看到的页面。 (他还将为图像的域获取任何非SSL的cookie)。 攻击者也可以改变图像以满足他的需要,这可能是一个问题。
答案 1 :(得分:1)
如果您根据Cookie识别您的用户,例如使用标准的SessionId,即使只引用静态图像,您也很容易受到攻击。
默认情况下,用户的浏览器会将每个请求的会话cookie重新发送到与协议无关的同一主机。即您在登录表单上使用HTTPS安全地验证了您的用户,并确保继续对所有敏感页面使用HTTPS ...
但是,您还在HTTP上包含“非敏感”图像...用户的浏览器会在请求时通过非加密,非安全的纯文本HTTP发送敏感会话cookie图像。
然后,只需从HTTP中获取该cookie,并将您的用户模仿回网站的安全部分即可。
注意,默认情况下 。
您可以通过在Cookie中添加secure;
属性来更改此行为。根据您的框架,您可以将其配置为自动发生。同样,这不是默认值,您必须明确更改它
当你在它时,也添加httpOnly;
属性。