它是否正确？ firebug 应该看到受 SSL 保护的 AJAX 吗？

Question

我已启用 SSL，我正在执行 jQuery AJAX 发布请求并将一些字段发送到服务器。

当我在 post 参数下通过 firebug 查看 AJAX post 请求时，我看到所有字段都是明文。

所以这意味着我可以以明文形式查看密码。这是正常的吗？我也在用 fiddler 查看它，它甚至没有记录这个 AJAX 请求（所以它就像从未发出过请求一样）。

那么是因为浏览器中安装了firebug并且可以捕获它还是什么？

Answer 1

当数据从浏览器移动到网络服务器时，ssl 启用安全性。 Firebug 是一个浏览器插件，它知道 DOM 树中的所有内容。我认为 firebug 显示输入字段和表单数据是有意义的。

Answer 2

是的，您可以看到字段数据，因为 FireBug 会在 Firefox 中捕获加密之前的请求。如果您使用像 Wireshark 这样的协议分析器检查实际的网络流量，您会发现它是加密的。

Answer 3

在我的脑海中，我认为 Firebug 正在向您显示正在发送的确切内容。否则，这将意味着它以某种方式解码编码信息。

如果您真的想确认这一点，请使用可以捕获浏览器外部网络流量的工具。以 Tcpdump 为例。

Answer 4

“所以这意味着我可以看到明文的密码。这正常吗？”

是的。数据驻留在您的浏览器（即用户代理）上，并在与服务器通信之前被捕获。任何加密操作都容易在值进入封闭系统的点被嗅探。这就是为什么如果您的机器受到损害（例如，被恶意软件），几乎没有什么帮助。