通过 HTTPS 发布 HTML 表单值

Question

我有一个网站，目前正在使用 https 进行安全登录和交易。除非您登录，否则您无法导航到主站点。

我收到了一位合作伙伴的请求，他们询问是否可以从自己的 Web 应用程序无缝导航到我们的网站，而无需登录。该网站也使用 https。

我已经设置了一个“PartnerLoginPage.aspx”页面，并允许他们将 html 表单值发布到该页面中（他们有正确的用户登录详细信息）。然后，我根据发布的值对它们进行身份验证并将它们重定向到主站点。他们不需要登录，我已经对他们进行了身份验证，并且效果很好。

我最担心的是，这不是一种安全的用户身份验证方式。如果您将 html 表单值 POST 到 https 页面中，数据仍然是加密的吗？只是出于兴趣，如果他们的网站不是 http 网站（它是），数据仍然会加密吗？

例如他们的 HTTPS->表单后值 ->我们的 HTTPS ->表单后值数据是否已加密？

和

他们的 HTTP（注意：没有“s”）-> 表单后值 ->我们的 HTTPS ->表单后值是否已加密？

感谢您的帮助，

斯图尔特

Answer 1

当然，假设所有密钥都是有效的...

如果请求是通过 https 页面发出的，则该请求将被加密（这意味着通过请求发送的 POST 值将被加密，无论目的地如何）。

如果请求是从非 https 页面发送到 https 页面，则请求不会加密，但响应会加密，因此 post 变量不会加密（但返回的值会加密）。

HTTPS 本质上设置正在通信的服务器/页面是否使用加密，因此 http -> https = 未加密请求，加密响应，https -> http = 加密请求，非加密响应。

当然，可以在脚本级别设置安全级别，但我认为您的答案并不担心这一点。

快速帖子脚本

为什么不为合作伙伴网站提供一个服务帐户，例如“用户名：partners，pw：sheswithme”或类似的帐户？您可以使用 cURL 设置 cookie 并传递服务器变量，让它们将表单指向发出请求的脚本，而不是让用户半直接访问您的脚本。