我相信我已经知道了答案,但我想知道是否有人对此问题有更深入的了解。我已经在Android和iOS应用程序中完成了证书固定,以使它们在中间攻击中更安全。我很好奇,可以在执行Ajax调用的网站上完成同样的事情吗?我想的不是因为Javascript代码可以在传输过程中修改,有没有人有这方面的经验?
答案 0 :(得分:5)
您可能对此感兴趣:http://caniuse.com/#search=HPKP。现代浏览器已经支持公钥锁定。
另外一篇关于防止中间人攻击的文章(或者他们更难做到 - 因为它似乎在安全环境中“预防”具有相对意义):http://blog.scottlogic.com/2016/02/01/man-in-the-middle.html
如果您喜欢冒险,那么您可以使用JavaScript中的TLS原生实现进入真正的低级别:https://github.com/digitalbazaar/forge/blob/master/README.md