Ajax 来自不安全页面的SSL上的XMLHttpRequest

此设置的安全性如何

不安全页面'http://www.site.com'使用POST生成XMLHttpRequest 到url'https://www.site.com/dosomething.asp"

页面dosomething.asp的标题为“Access Control Allow Origin:”集 并返回一些需要安全的用户相关数据

没有错误，一切顺利

实际的POST请求有多安全？

---

此请求的响应文本有多安全？

我能看到的最重要的问题是您的不安全页面不安全（好的，很明显）。如果有人试图对该不安全页面进行中间人攻击，他们可以编辑该页面的功能（使用JavaScript注入等），以拦截发送到安全URL的内容和从安全URL接收的内容。您最好在安全模式（SSL/TLS）下使用这两个页面。

一旦将非SSL组件引入应用程序，您就失去了SSL的所有好处。你只会像最脆弱的部分一样安全。这就是浏览器向用户报告SSL/非SSL混合内容作为安全警报的原因。

Wireshark是一个监控网络数据包在网络上传输的程序。它是免费和受欢迎的。回答这个问题的最终方法是获取Wireshark，花一天时间学习并应用它

用于查看源站点流量的筛选器为：

（ip.src==[源的ip地址]&&（ip.dst==[目标的ip地址]）

交换ip.src和ip.dst以查看返回的内容。实际上，您可以在一个筛选器表达式中组合这两者

如果您在数据包所经过的网络上，这将起作用

最后一项：下面是对PKI（https/SSL/TLS）的描述：

---

我通过电话询问了类似的情况，并验证了我正在发送和接收TLS（https）流量。但事实并非如此，所以我不想猜测。

好吧，这是我的想法——也许我大错特错了。假设不安全页面有两个表单字段用户名和密码。到dosomething.asp的连接仅通过SSL建立，如果responseText是安全的。。。那么，它的安全性还不足以满足基本的隐私要求吗？在我将开发或负责的应用程序中是不行的。您的方法可以保护数据不被网络上的“窥探者”窥视，但正如我在上文中所回避的那样，不保护原始页面将为更容易利用此漏洞拦截请求和响应的人留下开放的路径。除非你有很好的理由不这么做，否则我强烈建议你在两个页面上都使用安全保护。这也将为用户增加信心，因为当用户实际输入数据时，web浏览器将显示为“安全模式”。好的，我们可以做什么。。。要确保此设置的最紧急问题。。。如果由于任何原因无法更改此设置？浏览器的“安全模式”对用户来说并不重要……在这种情况下。@user980261是的，ziesemer是正确的。SSL是全有或全无，您不能拥有一个部分安全的系统。一旦将非SSL组件引入应用程序，您就失去了SSL的所有好处。你只会像最脆弱的部分一样安全。这就是为什么浏览器会将SSL/非SSL混合内容作为安全警报报告给用户的原因。不知道您在这里想说什么。这种XHR将通过HTTPS发送的事实并不意味着整个设置是安全的（参见@ziesemer的回答）。问题与此非常相似：Wireshark允许用户实际查看数据是否使用TLS加密。Wireshark需要一些时间来适应，但它是一个非常强大的工具，可以用来检查网络流量。我有一个https登录页，可以从中发送登录凭据。这一切都是通过https进行的。从网络流量来看，很明显数据是用TLS加密的。因此它是安全的。而且，我习惯于尽量利用次优情况。也许海报可以研究AES加密：-我已经看到在需要传输安全性的应用程序中使用这种方法效果很好。我不认为一次性观察可以使总体设计安全。当您尝试时，您将看到TLS流量这一事实并不意味着您的所有用户都会这样。此处的漏洞存在于页面的服务方式（普通HTTP）中，以及攻击者可以更改页面以更改到另一个（可能是攻击者自己的HTTP（s）网站）的链接。