场景是浏览器向server1发出请求。 server1,使用HTTP标头中的一些机密信息进行https重定向到server2。浏览器可以从server1查看重定向的内容还是加密?
答案 0 :(得分:1)
浏览器可以查看来自server1的重定向内容还是加密?
HTTPS在浏览器和服务器之间提供传输层安全性。浏览器确实可以查看来自任一服务器的响应中的任何内容。
您可以自己测试一下。只需在浏览器中打开开发人员工具(在IE中按F12键),导航到处理网络连接的选项卡,并在此类重定向期间记录网络对话。您可以从重定向检查响应标头。
如果两台服务器需要交换机密信息(意味着浏览器无法发现信息),最好是通过安全通道直接相互通信。您可以考虑以加密形式将机密数据添加到响应中(这样server2可以对其进行解密),但是只要您不必要地将加密数据暴露给客户端,就会引入另一个攻击媒介。