从 http 页面向 https 服务器请求 json 资源

【问题标题】:Request to a json resource from an http page to an https server从 http 页面向 https 服务器请求 json 资源
【发布时间】:2012-02-17 16:53:05
【问题描述】:

用户在 http 页面(由浏览器发出)到 https 服务器的 jsonp 请求是否被认为是安全的?

例如:

用户开启:

http://www.example.net

在那个页面上有一个表单,在提交时,它会发送一个 jsonp 请求到:

https://secureapi.net

提交表单上的信息可以像api服务器在http上一样读取吗?

【问题讨论】:

  • 我相信只有在同一个域上发出请求时才能这样做。否则,它不会工作。
  • @bsimic — 绕过同源策略是 JSONP 的要点
  • @Quentin -- 是的,但我不认为它适用于 HTTPS。
  • @bsmic — SSL 和同源策略是针对完全不同类型的攻击的防御。 SSL 不会阻止 JSONP 工作。
  • @Quentin 是对的,graph.facebook.com/cocacola 可以从 http 页面访问。

标签: javascript jquery https jsonp


【解决方案1】:

没有。虽然无法在运行中嗅探数据,但触发请求的 HTTP 页面很容易受到中间人攻击的更改。可以注入 JS,然后泄漏通过 HTTPS 检索到的数据。

【讨论】:

  • 感谢@Quentin,这对我有很大帮助。
【解决方案2】:

是的,只要你将加密数据发送到其他页面并解密另一个页面上的信息,它就是安全的

【讨论】:

  • 我无法理解这句话,但我很确定它不正确。
猜你喜欢
  • 1970-01-01
  • 2020-07-15
  • 1970-01-01
  • 2018-01-14
  • 1970-01-01
  • 2013-01-20
  • 2010-11-04
  • 2021-11-09
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode