静态HTTP专用网站上的HTTP安全表单 - 提交的安全性如何?

时间:2013-11-26 02:11:57

标签: security http encryption https form-submit

我有一个关于普通共享虚拟主机的网站,没有HTTPS

在网站上,我通过HTTPS网址向提供商JotForm发布表单。

这些提交内容是否会被安全转移?

1 个答案:

答案 0 :(得分:3)

能够拦截但不能篡改线路上的流量的攻击者将无法查看用户的表单提交,因为这些数据将通过HTTPS发送并加密。从这个意义上讲,提议的方法比以明文方式发送内容更安全。

但是,该方法容易受到其他类型的攻击。此方法的主要漏洞是非安全表单不提供完整性保证。能够在线路上更改明文的攻击者可以在传输给用户时简单地篡改非安全表单。有了这个功能,攻击者可以(例如):

  • 将表单ACTION参数更改为发布到攻击者控制的页面,以获取数据或执行中间人攻击。
  • 注入JavaScript代码以拦截表单值
  • 更改表单收集的元素
  • 强制表单值强制用户提交非预期内容

第二个人为因素问题是最终用户无法确定网站安全(例如,浏览器在提交表单之前无法检查证书,并且页面不会显示与加载的页面相关联的元素HTTPS)。这可能会导致用户不愿意填写表格,特别是如果最终用户认为提交的材料是保密的。

相关问题
最新问题