案例: 当页面的其余部分是http。
中的产品目录时,UI JQuery对话框应包含客户的信用数据问题: 在 http 中页面的其余部分可以使用 https 保护Jquery ui对话框?或者所有页面都必须是https而不仅仅是对话框?
(我知道对话框是页面的一部分,因为它不能保证安全,但我的老板说错了)。
由于
答案 0 :(得分:3)
答案毫无疑问是否。如果您不使用HTTPS保护整个会话,则攻击者将获取会话ID并使用该ID而不是用户名/密码。
你所描述的是明显违反OWASP前10:Broken Authentication and Session Management。
答案 1 :(得分:1)
“页面”不一定是HTTPS。只有抓取信息的连接(只要该数据不会在非安全页面上持久存在另一个非安全页面)。
这样的安全性基于交易。
一旦您非安全地加载页面(HTTP),只要您的ajax正在访问安全网址(HTTPS),您就可以加载安全内容。
除此之外,在处理安全用户数据时肯定存在其他安全问题,但只要通过HTTPS连接获取该数据的调用,那么您就是好的。
另一个例子是你制作了一张表格,记录用户的信息。包含表单的页面不需要通过HTTPS传递,当用户将数据提交到您的应用程序进行处理时,您只需要HTTPS。不要通过HTTPS保护“页面”的东西,只需要“交易”。
编辑:
重读你的问题,我想我可能已经做出了假设。如果您在页面加载后抓取这些安全数据,并且通过HTTPS连接使用ajax这样做就可以了。
但是在你的问题中,你没有提到使用ajax。如果您正在抓取所有数据并立即将其发送给用户,然后只是将其隐藏/显示在页面上,则YES,该页面需要为HTTPS。即使最终页面正在“隐藏”它,您仍然通过非安全连接传输安全数据。