我有2台服务器,Web和Api。 Web提供网页,Api提供json。
我希望能够从Web到Api进行ajax调用,但我想避免CORS飞行前请求。因此,我想将https://web.com/api/path的所有请求代理为https://api.com/path。
我能够让它工作的唯一方法是在向api服务器发出请求时删除https。换句话说,它是https://web.com/some/page - > https://web.com/api/path - > http://api.com/path。
通过在我的代理请求中删除https,我是否容易受到攻击?
答案 0 :(得分:1)
(我会发表评论,但我没有足够的代表)
我认为这在很大程度上取决于代理的含义。
如果您实际使用代理(即,您的第一台服务器将请求转发给第二台服务器,并且它通过第一台服务器返回),那么您只会像这两台服务器之间的连接那样容易受到攻击。如果它们在物理上接近,通过专用网络,我不会太担心它,因为攻击者必须危及您的物理网络。如果他们通过开放的互联网进行通信,您可能会发生其他攻击(如果您不提供实际的IP地址,则会想到DNS欺骗),我不建议这样做。
如果通过'代理'表示网页向您的API服务器发出Ajax调用,则可能会发生与在互联网上代理相同的攻击。</ p>
当然,这一切都取决于你在JSON中提供的服务。如果其中任何一个涉及身份验证或与会话相关的信息,我不会将其保留为未加密状态。如果它只是对所有用户都相同的基本信息,您可能不在乎。但是,技术娴熟的攻击者可能会通过中间人攻击操纵数据,所以我仍然会加密它。