0
我在我的网站上使用HTTPS协议。我没有使用任何加密机制对请求参数进行(用户名,密码,a/c细节等)。没关系?使用HTTPS时,是否需要在表单提交时加密请求参数?
我在我的网站上使用HTTPS协议。我没有使用任何加密机制对请求参数进行(用户名,密码,a/c细节等)。没关系?使用HTTPS时,是否需要在表单提交时加密请求参数?
请求参数对于您和服务器之间的任何观察者都是不可见的。你不需要自己加密任何东西。
只要确保表单是作为POST传递的,因为URL可能存储在日志中或以其他方式在服务器或客户端上看到。
我的两分钱:不使用小脚本<%=的request.getParameter(“some_param”)%>
直接到HTML对象同样复制请求参数,但有一些可能性,即观察者(人在中东)可以在客户端和服务器之间放置一些伪造的证书。像代理工具一样工作(BurpSuite,Charles,OSWAP ZAP等)。你对此有任何想法吗? – 2015-01-21 09:10:08
如果没有任何人注意,你不能放置“假证书”。这将使SSL完全无用。 – Kayaman 2015-01-21 09:20:15