這是我的情況:從PHP解析XML web服務使用jQuery調用:'https'足以保護XML嗎?
我已經成功地創建了一個簡單的PHP web服務來從MySQL中提取數據。我有一個使用jQuery製作AJAX調用該web服務的HTML頁面。 PHP返回XML,jQuery解析並顯示成功。這裏很標準的東西。
我已經在轉換到HTML頁面期間保護XML的安全方面做了大量的研究。我沒有傳遞敏感信息,但我不喜歡這個信息只是在運輸過程中進行的。我正在考慮使用https進行所有呼叫並確保web服務文件夾安全。有誰知道這是否足以保護數據?我覺得它應該是...
此外,這種類型的webservice最終可能會被iPhone APP使用,如果它對這裏的答案或答案的方向有任何影響的話。思考?謝謝閱讀。
如果您的用戶需要在使用webservice時進行身份驗證,並且這是通過https完成的,並且通過https發送xml也是如此。這部分傳輸是安全的,不能被嗅探。
如果你連接到你的MySQL服務器的專用網絡或阻止MySQL服務器的外部訪問以及隨後都應該是安全的(不考慮不安全的腳本)
在這一點上,我不需要任何用戶認證,因爲我們正在討論的只是從PHP web服務執行的MySQL數據庫搜索查詢返回信息。這證實了我的懷疑,即HTTPS足以保證這種簡單的溝通。在本網站(或Google)的大多數帖子中找到的答案都會產生「不可能」或「無法完成」等答案。當HTTPS看起來像一個可靠,明顯的解決方案時,我發現這很奇怪。 – MindSculpt 2011-04-14 19:07:22
後續問題:有誰知道如果您使用jQtouch並最終決定將其封裝爲iPad應用程序,如果您仍然可以在沒有任何xcode幫助的情況下對您的web服務進行https調用?我想,https呼叫一旦以「應用」形式出現就無法工作,因爲如果沒有xcode呼叫,用戶手機上的應用本身就無法保護。有任何想法嗎? – MindSculpt 2011-04-22 12:26:11
如果它不是敏感的數據,爲什麼會關注關於嗅探交通的人? – drudge 2011-04-14 18:52:20
好問題。這是我經歷過收集的麻煩的信息,寧可不只是「放棄」一切美好而美麗。另外,如果可能的話,只是計劃確保這些類型的服務,似乎是一種很好的做法。 – MindSculpt 2011-04-14 19:16:12
你只能把它送給坐在ISP或NSP嗅探流量的人。我懷疑有人冒這種風險會發現你的信息像信用卡號碼,SSN等有利可圖。 – drudge 2011-04-14 19:21:18