从非安全页面向安全 URL 提交表单

发布于 2024-12-26 11:36:49 字数 288 浏览 0 评论 0原文

假设我在这个位置的页面上有一个表单...

http://mydomain.com/myform.htm

并且表单看起来像这样...

<form method="post" action="https://secure.otherdomain.com/handleform.php">
   ....
</form>

假设接收此表单提交的服务器上安装了有效的 SSL 证书，该表单提交的内容是否会被加密？

原文

Suppose I have a form on a page at this location...

http://mydomain.com/myform.htm

And the form looks like this...

<form method="post" action="https://secure.otherdomain.com/handleform.php">
   ....
</form>

Assuming that there is a valid SSL cert installed on the server which receives this form submission will the contents of that form submission be encrypted?

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

要走干脆点 2025-01-02 11:36:49

POST 请求将通过 HTTPS 传输（如果配置正确，则进行加密）。将通过纯 HTTP 获取的页面中的表单提交到 HTTPS 页面是不好的做法。初始页面也应通过 HTTPS 提供。原因是 MITM 攻击者可以拦截使用表单加载页面的响应，并替换链接以指向另一个目标。

请参阅此处的第一条规则（当然，不特定于登录页面）：

https://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet#Rule_-_Use_TLS_for_All_Login_Pages_and_All_Authenticated_Pages

规则 - 对所有登录页面和所有经过身份验证的页面使用 TLS
登录页面和所有后续经过身份验证的页面必须是
通过 TLS 独占访问。初始登录页面，称为
“登录登陆页面”必须通过 TLS 提供。未能利用
登录登陆页面的 TLS 允许攻击者修改登录信息
表单操作，导致用户的凭据被发布到
任意位置。未能对经过身份验证的页面使用 TLS
登录后使攻击者能够查看未加密的会话 ID
并危及用户经过身份验证的会话。

回复收藏 0 原文

安人多梦 2025-01-02 11:36:49

假设服务器和客户端之间可以协商有效的 SSL/TLS 会话，那么可以。这意味着客户端必须愿意信任服务器提供的任何证书，并且两方可以协商双方都同意的密码集（使用什么算法等）。您可以设置很多配置选项来更改允许的内容，但在“正常”实现中，您不会胡乱要求特定的非正常算法、需要客户端证书身份验证等，一切都应该工作得很好，并且您将拥有一个受保护的会话...如果由于某种原因失败，您会知道您的客户端将收到有关出错原因的错误。

请注意，一般来说，虽然您可以这样做，并且传输会被加密，但通常不应该这样做。提交未加密/受保护的页面会让您容易受到几种类型的中间人攻击。您可以在此处查看有关此问题的 OWASP 文章以及为什么它不好。

回复收藏 0 原文