jes*_*vin 2 forms security ssl https
假设我在这个位置的页面上有一个表单......
http://mydomain.com/myform.htm
表格看起来像这样......
<form method="post" action="https://secure.otherdomain.com/handleform.php">
....
</form>
假设在接收此表单提交的服务器上安装了有效的SSL证书,该表单提交的内容是否会被加密?
POST请求将通过HTTPS传输(如果配置正确,则加密).将通过纯HTTP获取的页面中的表单提交到HTTPS页面是不好的做法.初始页面也应该通过HTTPS提供.原因是MITM攻击者可以拦截使用表单加载页面的响应,并替换链接以指向另一个目标.
请参阅此处的第一条规则(当然,不是特定于登录页面):
规则 - 对所有登录页面和所有经过身份验证的页面使用TLS
必须通过TLS专门访问登录页面和所有后续经过身份验证的页面.初始登录页面(称为"登录登录页面")必须通过TLS提供.如果未能将TLS用于登录登录页面,则攻击者可以修改登录表单操作,从而将用户的凭据发布到任意位置.登录后未能对经过身份验证的页面使用TLS使攻击者能够查看未加密的会话ID并危及用户的已通过身份验证的会话.