简单的SSL - 我需要做些什么才能使我的ajax登录SSL安全

Question

我有一个带有用户管理管理区域的用户登录/注册系统。

只是一些背景：

目前登录全部为“ajaxy”，因此用户点击登录并加载gif四处旋转，同时在后台检查详细信息，创建会话。

如果一切顺利，客户端javascript会将页面刷新到正确的位置。

问题

现在，如果我想使用SSL，我该怎么办？

• 1. “ajax”电话 - 我需要确保这一点 - 我是否通过拨打https来做到这一点 - 这就够了吗？

     • 1.1目前我使用jQuery $ post，它具有login.php的相对路径来检查用户登录详细信息。我应该这样绝对 - 例如https://www.mysite.com/ajax/login.php

• 1. 登录后重定向是否也应转到https

（网站所有者应该已经拥有SSL证书等）

由于

Answer 1

一切都需要通过SSL。

1. 如果页面是HTTP并且Ajax转到HTTPS，那么您将从same origin policy
退回
2. 如果条件如上，但您使用CORS来解决策略，那么中间人攻击可能会改变请求的页面并添加（例如）额外的JS窃取页面中的凭据（而不是来自HTTP请求）
3. 如果您在用户登录后重定向到HTTP，那么您很容易受到Firesheep问题的影响

因此，通过SSL显示登录页面，一旦用户登录，继续使用SSL。

Answer 2

通过SSL连接发送的所有内容都是加密的，所以是的;让你的AJAX调用使用SSL就足够了。在实践中，您还需要让发出AJAX调用的页面使用SSL来避免原始策略问题。

无论您是重定向到相对路径还是绝对路径都与安全无关，这只是一个品味问题。

假设您不希望用户的cookie或其他操作被嗅探，那么是的，在用户登录后，以下所有通信也应该使用SSL。 HTTPS不会导致太多过热，因此如果您可以使用它，通常没有理由不使用它。