在 (HTML) 表单的操作中使用 HTTPS 是否足以使表单数据进行 SSL 加密以进行提交?
还是托管表单的页面也必须是 HTTPS?
3个回答
11
如果托管表单的页面未通过HTTPS提供,则可以在传输过程中拦截和修改它。这些修改可能包括更改表单的操作,或添加JavaScript将数据发送到第三方,然后像正常情况下一样提交表单。
仅通过HTTPS提交表单并不足以保护数据,必须也要以这种方式交付表单。
仅通过HTTPS提交表单并不足以保护数据,必须也要以这种方式交付表单。
- Quentin
4
在表单操作中使用HTTPS足以加密表单提交。
承载表单的页面不必使用HTTPS,但这可以增加用户对其数据安全性的信心。
保护承载页面的另一个好处是,表单无法被中间人欺骗或篡改。
- Andrew Cooper
4
虽然它能够工作,但有很多不应该这样做的原因,正确的答案是尽可能不要这样做,因为用户并不知情。 - stephbu
@stephbu:同意 - 我在我的回答中列出了其中两个原因。 - Andrew Cooper
呵呵 - 我原来的评论被截断了 - 我本来要投@stian的,因为他比较新,但你以客户为中心的理由更加准确。 - stephbu
“其他好处”简直是轻描淡写!如果表单操作被欺骗,毕竟还有HTTPS。因此这是不够的。 - Martin Ueding
2
如果你只是想在加密方面使用魔法般的技巧,那么这已经足够了。但如果你真正想要保护安全,这就不够了。任何中间人攻击都可以简单地重写表单 HTML 以将其发布到恶意服务器。
- Jim
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接