目前,我们计划使用GET方法向服务器发送短,敏感。我们将在GET请求字符串中附加信息。
我们将使用https。
我想知道,我们是否需要对数据执行AES加密(接收服务器端不需要解密。因此,在我们将其附加到GET请求字符串之前,不需要在服务器上传输加密密钥) ?
如果正在使用https,攻击者是否能够嗅探GET请求字符串?
答案 0 :(得分:5)
不,如果使用HTTPS,攻击者将看不到GET请求字符串。
在发送任何HTTP流量之前,TLS / SSL层会进行设置。
如果允许HTTP连接然后立即转发到HTTPS连接,则GET请求将以明文形式提供。如果你整个时间都保留HTTPS,那就不会。
尽管如此,还有其他原因不能这样做,例如Web服务器访问日志中可能存在敏感数据。
以下是一些类似的Q / A线程,可以提供有关该主题的良好背景信息: