我的网站上有SSL ....当用户从http页面登录表单操作被发送到https页面时,这仍然可以保护发布的数据吗?
或者将表单和页面发布到SSL?
会更好吗?由于
答案 0 :(得分:3)
是的,表单数据的传输仍然是安全的。您可以使用网络嗅探器(Fiddler,NetMon,...)来验证这一点。但是对于用户体验,您仍应将登录表单放在SSL站点上。这样他们就可以在浏览器中看到“锁定”图标。此外,如果您不使用SSL,则无法保证表单未被篡改(如Adam所说)。
答案 1 :(得分:3)
对于包含表单的页面和 提交的页面都是HTTPS非常必要。除非带有表单的页面具有HTTPS,否则您无法保证该表单在何处提交到。它实际上可能不会提交到HTTPS页面(您希望访问者查看源代码)或者某些内容可能已插入一些恶意javascript以将表单重定向到其他位置。但是,如果表单也是HTTPS,那么您就知道它没有被篡改过。
安全不仅仅是勾选一个说“我有加密”的方框,这是一个完整的过程。
但是这里的重要部分(以及为什么这个问题的唯一正确答案是“FROM和TO必须是HTTPS”)大多数人都忘记了:HTTPS(以及一般的SSL / TLS)不只是加密,即只是其中的一部分。它是关于 TRUST :
在FROM页面上没有HTTPS,无法保证上面的#2(FROM页面可能被篡改),这意味着无法保证#1。毕竟,如果你的表单被某种方式篡改,你怎么知道这个表单到底会对你的数据做些什么呢?
答案 2 :(得分:1)
您需要使用SSL的表单页面才能保证安全。