【问题标题】:Same Domain JSONP Security同域 JSONP 安全性
【发布时间】:2013-04-11 01:37:07
【问题描述】:

同一域(非跨域)中的以下情形在多大程度上容易受到中间人攻击?

不安全页面上的表单将包含敏感数据(在查询字符串中)的 JSONP 请求提交到安全页面。

【问题讨论】:

  • 不安全页面是什么意思?一个有漏洞的页面还是一个没有使用 https 的页面?
  • 是的,不安全 = HTTP,安全 = HTTPS

标签: security https jsonp man-in-the-middle


【解决方案1】:

假设“不安全”是指通过纯 HTTP 提供的页面,没有 HTTPS 中涉及的加密和服务器验证:

来自 HTTP 页面的 HTTPS 实际请求不易受到中间人攻击。但是,HTTP 页面本身易受攻击:MitM 攻击可能会更改该原始页面中的内容,从而泄漏通过 HTTPS 发送的数据,或者以其他方式干扰页面的操作使其不可信的方法。

如果用户可以确定第一个 HTTP 页面已完全完整地传输,则可以保证数据安全。但是,现实世界的用户无法通过审核该 HTTP 页面上的所有内容来确定这一点。

因此,您应该认为从 HTTP 到 HTTPS 的提交并不比从 HTTP 到 HTTP 的提交更安全。

相同或不同域中的 URL 无关紧要。

【讨论】:

    猜你喜欢
    • 2011-06-25
    • 1970-01-01
    • 2011-10-29
    • 2014-06-26
    • 2013-01-19
    • 2011-07-10
    • 1970-01-01
    • 2013-01-04
    • 1970-01-01
    相关资源
    最近更新 更多