使用HTTPS来使用REST API时,是否有办法阻止客户端用户查看调用内的数据?
我认为HTTPS可以做到这一点但是当我运行Fiddler时,我看到了安装假证书和查看请求内容的选项。
如何确保这一点?
鲍尔泰克
答案 0 :(得分:2)
“安装假证书和偷看请求内容”称为MITM。 Mitm是中间人攻击,黑客试图向用户注入自己的[假]证书,用户使用黑客证书加密数据,黑客解密数据,存储解密数据,用服务器证书重新加密,然后发送给服务器等。
再次保护MITM的唯一方法是检查证书并确保它是有效的证书,如果客户端是您自己的应用程序,您的应用程序应存储您的真实证书的序列号。
因此,在发送请求之前,只有防止SSL MITM存储或验证您的证书。