HTML表单提交-基本前提

假设我在

http://www.domain.com/page.html

我想提交以下表格：

<FORM METHOD="post" ACTION="https://DifferentSite.com/processForm.aspx">
....
</FORM>

....

www.domain.com

上的服务器是否在任何时候实际看到表单中的任何信息？或者，这是直接从客户端发送到

DifferentSite.com

我询问的原因，例如如上所示，表单提交调用HTTPS，而我所在的站点仅为HTTP（无SSL）。如果domain.com服务器确实看到并传输表单信息（即使已加密），也会影响PCI合规性

---

谢谢大家。

发送表单HTML（www.domain.com）的服务器将看不到提交的数据。它直接进入DifferentSite.com，并用DifferentSite.com的公钥加密，因此www.domain.com即使收到数据也无法检查数据

www.domain.com上的服务器是否在任何时候看到表单中的任何信息

不是本质上的，但它可以在提交之前用JavaScript嗅探它（或者更改URL，因为URL是由该站点设置的）

或者，这是直接从客户端发送到DifferentSite.com的吗

对

我询问的原因，例如如上所示，表单提交调用HTTPS，而我所在的站点仅为HTTP（无SSL）

---

中间攻击的人可以重写表单，将数据发送到其他地方（或将其复制到其他地方，并让提交继续提交到预定的站点）。

谢谢吉姆。让我们假设表单操作未加密。服务器是否有可能看到此表单数据？没有。数据仍然通过客户端和DifferentSite.com之间的不同连接。www.domain.com永远不会意识到这种交互。这一切都假设纯HTML，并且网页不包含也会将数据发送回原始站点（www.domain.com）的JavaScript。有了JS，任何用户怎么可能知道他们是安全的？？哈曼在中间-我在一个欺骗网站？Javascript的优点是，任何用户怎么知道自己是安全的？或多或少。中间人从原始站点向您提供信息，并将数据发送回它，但监控或操纵传输中的数据。他们可以相信他们提交的数据将安全到他们信任站点A的限度。如果表单在站点A上，但被提交到站点B，那么他们将信任站点A（希望将数据发送到站点B不会滥用这种信任）。JavaScript没有什么区别，因为它是站点a的一部分。