从HTTP向HTTPS发出CORS请求是否存在安全问题?
我有一个我已经确认只能通过HTTPS访问的服务器。如果使用HTTP的受信任网站向HTTPS端点发出CORS请求,我应该担心什么从HTTP向HTTPS发出CORS请求是否存在安全问题?,http,https,cors,Http,Https,Cors,我有一个我已经确认只能通过HTTPS访问的服务器。如果使用HTTP的受信任网站向HTTPS端点发出CORS请求,我应该担心什么 提前感谢您的帮助。是的,它是不安全的:如果您域的http网页可以读取您域的https网页的答案,攻击者可以通过修改http网页 即使用户没有访问您的网站!攻击者可以使用任何使用http的网站包含您网站的http iframe,修改内容以强制向您的https网页发送CORS请求,并将答案发送给攻击者 “使用HTTP的受信任网站”:CORS可能会“信任”(白名单),但不能信
提前感谢您的帮助。是的,它是不安全的:如果您域的http网页可以读取您域的https网页的答案,攻击者可以通过修改http网页 即使用户没有访问您的网站!攻击者可以使用任何使用http的网站包含您网站的http iframe,修改内容以强制向您的https网页发送CORS请求,并将答案发送给攻击者 “使用HTTP的受信任网站”:CORS可能会“信任”(白名单),但不能信任HTTP网页
TL;DR:在任何地方都使用https,否则您将犯一个削弱安全性的错误。是的,它是不安全的。:如果您域的http网页可以读取您域的https网页的答案,攻击者可以通过修改http网页 即使用户没有访问您的网站!攻击者可以使用任何使用http的网站包含您网站的http iframe,修改内容以强制向您的https网页发送CORS请求,并将答案发送给攻击者 “使用HTTP的受信任网站”:CORS可能会“信任”(白名单),但不能信任HTTP网页
TL;DR:在任何地方都使用https,否则你会犯一个会削弱安全性的错误。为什么不在所有网页中使用https?我只是想确定是否有理由在任何地方都使用https。我不确定,因为在以前的帖子中,我看到人们一直在询问提出这些请求,而我没有看到关于提出这些请求的“警告”。这对我来说似乎不安全,我想我应该问一下。谢谢你,汤姆。不客气。真正的问题不再是“为什么使用https”,而是“为什么使用http”。如果您没有使用http的真正原因,请使用https;)你为什么不在所有的网页中使用https呢?我只是想确保到处都有https。我不确定,因为在以前的帖子中,我看到人们一直在询问提出这些请求,而我没有看到关于提出这些请求的“警告”。这对我来说似乎不安全,我想我应该问一下。谢谢你,汤姆。不客气。真正的问题不再是“为什么使用https”,而是“为什么使用http”。如果您没有使用http的真正原因,请使用https;)我觉得这可能是一个愚蠢的问题,但什么能阻止攻击者对HTTPS网页做同样的事情呢?所谓“攻击者”,我指的是访问者和服务器之间的某个人。修改http请求很简单,使用httpsI很难做到。我觉得这可能是一个愚蠢的问题,但什么能阻止攻击者对HTTPS网页执行同样的操作呢?所谓“攻击者”,我指的是访问者和服务器之间的某个人。修改http请求非常简单,而使用https则非常困难