标签: http ssl https
在我没有SSL包装的网页中,我有一个登录表单。用户可以输入他们的用户名和密码,并在该登录表单中提交信息进行身份验证。
登录表单中指定的操作是https:/// login。这是否足以使加密或两个页面都必须被包裹?
由于 埃里克
答案 0 :(得分:1)
这就够了。
这样,攻击者无法获取登录用户和密码,因为浏览器正在加密发送它们。 但是如果您在登录后恢复为纯http,则攻击者可能会嗅探会话Cookie并使用该Cookie来冒充您的用户。有关详细信息,请参阅firesheep。