我正在构建无服务器的Web应用程序。我的HTML,CSS和JavaScript位于我的域example.com指向的公共存储位置。
当我的用户使用浏览器导航到我的域时,他们的浏览器会GET来自该位置的这些文件,然后<{>>没有进一步的沟通与example.com。 JavaScript应用程序在浏览器中运行,并通过HTTPS与单独的后端进行通信(在我的案例中为AWS,但可能是Azure,Kinvey,BlueMix或其他)。
因此,似乎没有理由加密我的用户之间的通信&#39;网络浏览器和xyz.com,即我不需要提供https://example.com,我这样做不会带来安全保障。
我说错了吗?
我问的原因是我找到了至少两个提供SSL支持的静态托管服务:
我知道想要HTTPS的原因(在上面的第二个链接以及https://levels.io/default-to-https/中描述...)但这些似乎都不适用于我的情况。
我认为这是一个严肃的问题,因为更多的应用程序将以这种方式构建(http://serverlessconf.io/的人肯定这么认为),并且只要实际后端的通道是安全的,就没有理由将通道固定到本质上只读硬盘上。
答案 0 :(得分:1)
如果您没有与example.com保持通信,那么中间攻击者(例如流氓wifi热点)中的人可以修改用户加载的html和JavaScript。
使用此方法的一种方法是更改JavaScript,以便将后续API请求发送到攻击者控制器服务器而不是您的服务器,从而危及所传输的任何凭据或信息。