假设用户通过加密连接(https)访问我的网站,并将一些(AJAX)代码发送到用户Web浏览器,后者又使用无安全URL:http连接到其localhost。它仍然是安全的吗?
我的想法是肯定的,因为已经在localhost上运行的网络浏览器反过来也不会通过互联网发送,无论如何都是未加密的。简而言之,消息已经传输到机器,从用户网络浏览器到我的软件(安装在用户计算机/机器上)的方式将非常短,只要用户计算机/机器就无法到达任何其他机器没有被恶意软件感染。这是一个正确的结论吗?
答案 0 :(得分:2)
假设localhost上没有恶意软件,从Web浏览器到localhost的http请求永远不会离开计算机,因此网络上的任何人都无法查看。通过这种方式,它是安全的。
如果本地主机上存在恶意软件或其他用户,则在环回接口上嗅探http流量比跟踪Web浏览器应用程序获取相同信息要容易得多。这样,它就不安全了。