gpt4 book ai didi

security - 仅静态 HTTP 网站上的 HTTP 安全表单 - 提交的安全性如何?

转载 作者:可可西里 更新时间:2023-11-01 17:02:28 30 4
gpt4 key购买 nike

我在普通共享虚拟主机上有一个网站,没有 HTTPS

在网站上,我有一个表单通过 HTTPS URL 发布到提供商 JotForm。

这些提交的内容会安全传输吗?

最佳答案

具有拦截但不能篡改网络流量能力的对手将无法查看用户提交的表单,因为此数据将通过 HTTPS 发送并加密。从这个意义上说,所提出的方法比以明文形式发送内容更安全。

但是,该方法容易受到其他类别的攻击。这种方法的一个主要漏洞是非安全形式不提供完整性保证。能够更改线路上的明文的攻击者可以在非安全形式传输给用户时简单地篡改它。利用此功能,攻击者可以(作为示例):

  • 更改表单 ACTION 参数以发布到攻击者控制的页面,以获取数据或执行中间人攻击。
  • 注入(inject) JavaScript 代码以拦截表单值
  • 更改表单收集的元素
  • 强制表单值以强制用户提交非预期内容

第二,人为因素,问题是最终用户将无法确定网站的安全性(例如,浏览器无法在提交表单之前检查证书,并且页面不会显示与加载过的页面相关的元素HTTPS)。这可能会导致部分用户不愿填写表格,特别是如果最终用户认为提交的 Material 是 secret 的。

关于security - 仅静态 HTTP 网站上的 HTTP 安全表单 - 提交的安全性如何?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20207290/

30 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com