这种设置有多安全?
不安全页面“http://www.site.com”使用POST制作XMLHttpRequest url'https:// https://www.site.com/dosomething.asp'
页面dosomething.asp具有标题'Access-Control-Allow-Origin:http://www.site.com'设置 并返回一些需要安全的用户相关数据。
没有错误,一切顺利。
实际的POST请求有多安全? 此请求的responseText有多安全?
答案 0 :(得分:4)
我能看到的最重要的问题是你的不安全页面不安全(好吧,显而易见)。如果有人要在该不安全的页面上尝试中间人攻击,他们可以编辑页面的功能(使用JavaScript注入等)来拦截发送到安全URL和从安全URL接收的内容。您最好在安全模式(SSL / TLS)中使用这两个页面。
答案 1 :(得分:2)
只要向应用程序引入非SSL组件,就会失去SSL的所有好处。你只有最薄弱的部分才能安全。这就是为什么浏览器将混合的SSL /非SSL内容报告为用户的安全警报。
答案 2 :(得分:-2)
Wireshark是一个监控通过网络传输的网络数据包的程序。它是免费和受欢迎的。回答这个问题的最终方法是获取Wireshark,花一天时间学习它并应用它。
要查看来自源站点的流量的过滤器将是:
(ip.src == [来源的IP地址])&& (ip.dst == [目标的IP地址])
交换ip.src和ip.dst以查看返回的内容。实际上,您可以将两者合并在一个过滤器表达式中。
如果您正在通过其传输数据包的网络,这将起作用。
最后一项:以下是PKI(https / SSL / TLS)的说明:http://www.mitre.org/news/the_edge/february_01/steve.html
我发布了类似的情况,并验证了我发送和接收TLS(https)流量。但事实并非如此,所以我不想推测。