从 HTTP 到 HTTPS 的 POST 安全吗？

Question

我有一个带有表单的 HTTP 页面。如果我将操作设置为 HTTPS 页面，请求是否安全？浏览器在将数据发送到网络之前是否处理了所有数据？或者我应该对整个网站使用 HTTPS？

Answer 1

是的，如果您的表单发布到的位置是 HTTPS，那么它将是安全的。

然而，用户可能会感到惊讶，因为他们的浏览器中的表单页面上没有锁定图标。从可用性的角度来看，让两个页面都是 HTTPS 可能会更好。

Answer 2

Troy Hunt 发现了一个简单的 中间人攻击表明从 HTTP 到 HTTPS 的发布绝不是安全的。随着免费 WiFi 的普及，这种攻击将变得非常容易执行。

http://www.troyhunt .com/2013/05/your-login-form-posts-to-https-but-you.html

Answer 3

是的。只要需要安全的请求是 https，就可以了。

话虽这么说，包括 gmail 在内的许多关键网站已经不再费心将其网站的一小部分划分为 https，而是将整个网站设为 https。它更容易、更安全，而且性能损失很小。

Answer 4

不要这样做！

考虑 MITM 攻击，攻击者坐在服务器和客户端之间的线路上，在登录表单到达客户端之前修改登录表单。登录表单现在包含键盘记录器或将 POST 操作指向网络钓鱼页面而不是真实服务器。最终用户不会收到任何警告或 UI 提示，因此他们会继续提交表单。

考虑一下 MITM 攻击，攻击者在咖啡店部署“免费 Wifi”（通过智能手机热点或其他方式）。当毫无戒心的人使用这个“免费 Wifi”以 HTTP 表单登录时，即使它执行了 HTTPS 的 POST，攻击者也可以通过分析用户的热点网络流量来查看用户的明文凭据。

参考资料：

• 现实世界中的 TLS 和 SSL
• SSL 条
• 您的登录表单发布到 HTTPS，但是当您通过 HTTP 加载它时，您搞砸了
• 从 HTTP 提交是否安全表单转换为 HTTPS？

Answer 5

通过 HTTPS 发布时，从表单到服务器的实际数据传输是加密的。如果这就是您所说的安全的意思，那么是的，它是安全的。

我认为您的问题要表达的是，客户端在发布之前阅读表单的情况如何。无论是否使用 HTTPS，这当然是可能的。

但另一方面，您可能应该对实际表单使用 HTTPS。当用户的帖子通过 HTTP/HTTPS 边界重定向时，某些浏览器会警告用户。另外，我认为您的用户不会乐意填写没有显示安全图标的表单。

Answer 6

如果您将操作设置为 HTTPS，这确实是安全的。在通过 HTTPS 发生任何事情之前，必须先进行握手，并且发送数据的浏览器必须在操作发生时执行此操作。