如果我通过安全的HTTPS AJAX POST登录用户,这是否意味着HTTP POST的主体是加密的,因此是安全的?
答案 0 :(得分:0)
这取决于您想要防范的内容(应该减少哪些威胁)。
HTTPS是客户端(本例中为浏览器)与服务器之间的安全通道。这意味着任何拥有足够权限的客户端以及服务器上的任何人都可以读取数据,因为这些是HTTPS所在虚构管道的末端。实际上,客户端或服务器上的任何管理员都可以读取传输的数据,但是中间人攻击者(网络中的某个人)不能,HTTPS是安全的(仅限于此,尽管这不仅仅是机密性) HTTPS提供,但这是一个单独的主题。)
更重要的问题是,如何将用户名和密码放入ajax请求的正文中?这意味着你必须在客户端的某个地方存储这样的用户名和密码,它很可能不是很安全。例如,任何单个成功的XSS攻击都可以向攻击者透露此类凭据。在这种情况下,这可能是我最关心的问题。