这种设置有多安全?
不安全的页面“http://www.site.com”使用 POST 发出 XMLHttpRequest 到网址“https://www.site.com/dosomething.asp”
页面 dosomething.asp 设置了标题“Access-Control-Allow-Origin: http://www.site.com” 并返回一些需要安全的用户相关数据。
没有错误,一切顺利。
实际的 POST 请求有多安全? 此请求中的 responseText 有多安全?
【问题讨论】:
我能看到的最重要的问题是您的不安全页面不安全(好吧,很明显)。如果有人试图对那个不安全的页面进行中间人攻击,他们可以编辑页面的功能(使用 JavaScript 注入等)来拦截发送到安全 URL 和从安全 URL 接收的内容。您最好在安全模式 (SSL/TLS) 下使用这两个页面。
【讨论】:
一旦您将非 SSL 组件引入您的应用程序,您就失去了 SSL 的所有好处。你只有最薄弱的部分是安全的。这就是浏览器向用户报告混合 SSL/非 SSL 内容作为安全警报的原因。
【讨论】:
Wireshark 是一个监控通过网络传输的网络数据包的程序。它是免费且受欢迎的。回答这个问题的最终方法是获取 Wireshark,花一天时间学习并应用它。
查看来自源站点的流量的过滤器是:
(ip.src == [源IP地址]) && (ip.dst == [目标IP地址])
交换 ip.src 和 ip.dst 以查看返回的内容。实际上,您实际上可以将两者结合在一个过滤器表达式中。
如果您位于数据包所通过的网络上,这将起作用。
最后一项:这是对 PKI (https/SSL/TLS) 的描述:http://www.mitre.org/news/the_edge/february_01/steve.html
我 Wireshark 遇到了类似的情况,并确认我正在发送和接收 TLS (https) 流量。但具体情况并非如此,所以我不想推测。
【讨论】: