保护 HTTP 请求的部分内容？

Question

如何保护 HTTP 请求的某些部分（例如会话 ID）？我知道您可以使用 HTTPS，但是您的服务器必须解密所有请求。仅加密请求的所需部分不是很理想吗？

是否有任何框架或资源可以让您或告诉您如何做到这一点？

Answer 1

HTTPS 是正确使用的工具。解密数据包的计算负载非常低。今年早些时候，谷歌将整个 GMail 默认改为 HTTPS，他们报告称，其服务器上用于 SSL 加密/解密的 CPU 负载约为 1%。

如果您只加密部分流，那么您仍然会遇到中间人攻击和重放攻击的问题。 SSL 是防止这些问题的唯一方法。会话 ID 是否加密并不重要。如果中间人可以捕获它，他就可以以加密形式重用它，而服务器不会知道其中的区别。

这是一篇博客文章，介绍了自 GMail 切换到 100 以来 Google 的体验％SSL。

Answer 2

HTTPS 要么全有，要么全无。如果页面上的所有元素并非都通过 HTTPS 进行保护，那么用户通常会在左上角看到“损坏的锁”。这是因为攻击者可以利用它来注入类似于 xss 的攻击并获取 document.cookie 值。

此外，如果发送 1 个带有会话 ID 的请求，则攻击者可以获得该值并以您的身份进行身份验证。