假设我在http://www.domain.com/page.html。
我想提交此表单:
<FORM METHOD="post" ACTION="https://DifferentSite.com/processForm.aspx">
....
</FORM>
www.domain.com的服务器是否真的在任何时候看到表单中的任何信息?或者,这是直接从客户端直接发送到DifferentSite.com?
我问的原因,例如如上所示,表单提交调用HTTPS,而我所在的站点只是HTTP(没有SSL)。如果domain.com服务器确实看到并传输表单信息(即使加密),它也会影响PCI合规性。
谢谢大家。
答案 0 :(得分:1)
发送表单HTML(www.domain.com)的服务器将看不到提交的数据。这直接进入DifferentSite.com,并使用DifferentSite.com的公钥加密,因此即使收到数据,www.domain.com也无法检查数据。
答案 1 :(得分:1)
www.domain.com上的服务器是否实际上在任何时候都看到了表单中的任何信息?
不是本质上的,但它可以在提交之前用JavaScript嗅探它(或者更改URL,因为那是由该网站设置的)。
或者,这是直接从客户端直接传到DifferentSite.com吗?
是
我问的原因,例如如上所示,表单提交调用HTTPS,而我所在的站点只是HTTP(没有SSL)。
中间人攻击可以重写表单以将数据发送到其他地方(或将其复制到其他地方并让提交继续到目标网站)。