【发布时间】:2015-09-25 01:38:51
【问题描述】:
我目前正在开发一个单页应用程序,该应用程序与托管在不同服务器上并受 SSL 保护的 REST api 通信。
我想知道是否应该在为单页应用程序提供服务的服务器上设置 SSL 证书,或者只是在后端服务器上设置它就足够了,考虑以下几点:
单页应用程序是用于重置密码链接的端点,查询字符串中带有机密令牌。这些链接通过电子邮件发送给我的用户。当用户点击链接时,他的浏览器请求单页应用程序。因此,GET 请求未加密,查询字符串也未加密。
然后应用要求用户输入新密码,新密码通过 ajax 发送到受 SSL 保护的后端。
所以我认为值得为我的单页应用程序设置 SSL 以确保首先考虑的安全性,因为 GET 请求因此未加密,查询字符串和令牌也不是敏感信息。但是,如果只考虑第二个考虑因素,则不需要这样做,因为单页应用程序和后端之间的连接是通过 SSL 完成的(因为单页应用程序使用 Ajax 与受 SSL 保护的端点通信) .
我说的对吗?还是完全偏离正轨?谢谢!
【问题讨论】:
标签: ajax security ssl https single-page-application