我正在开发的应用程序(带有注册/登录的简单系统,1个DB,CRUD)位于具有SSL证书的域上(使用https粘贴URL时会出现挂锁)。这是否意味着将使用SSL,我不需要向我的应用程序添加任何代码?
答案 0 :(得分:1)
您无法确定服务器端是否正在使用SSL。当然,您可以将Web服务器设置为拒绝HTTP连接或将它们重定向到HTTPS(这通常在Web服务器中设置,而不是在应用程序中设置)。但除非您要求您的客户提供证书,否则此设置不会阻止中间人攻击。攻击者可以设置仅接受来自客户端的HTTP连接的代理,然后通过HTTPS连接到服务器。
请参阅sslstrip了解此攻击的实际成功实施情况。