Warning: file_get_contents(/data/phpspider/zhask/data//catemap/1/php/244.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Php 当页面的其余部分使用http时,是否可以使用https保护Jquery ui对话框?_Php_Security_Jquery Ui_Https_Jquery Ui Dialog - Fatal编程技术网
Fatal编程技术网
  • php/
  • Php 当页面的其余部分使用http时,是否可以使用https保护Jquery ui对话框?

Php 当页面的其余部分使用http时,是否可以使用https保护Jquery ui对话框?

php security jquery-ui https

Php 当页面的其余部分使用http时,是否可以使用https保护Jquery ui对话框?,php,security,jquery-ui,https,jquery-ui-dialog,Php,Security,Jquery Ui,Https,Jquery Ui Dialog,案例: 当页面的其余部分是http中的产品目录时,UI JQuery对话框应该包含客户的信用数据 问题: 当页面的其余部分在http中时,可以使用https保护Jquery ui对话框?或者所有页面都必须是https,而不仅仅是对话框 (我知道对话框是页面的一部分,因为它不安全,但我的老板说我错了) 谢谢该“页面”不需要是HTTPS。只有获取信息的连接(只要该数据不在非安全页面上持续到另一个非安全页面) 这样的安全性是基于事务的 一旦您以非安全方式(HTTP)加载页面,您就可以加载安全内容,只要

案例: 当页面的其余部分是http中的产品目录时,UI JQuery对话框应该包含客户的信用数据

问题: 当页面的其余部分在http中时,可以使用https保护Jquery ui对话框?或者所有页面都必须是https,而不仅仅是对话框

(我知道对话框是页面的一部分,因为它不安全,但我的老板说我错了)

谢谢

该“页面”不需要是HTTPS。只有获取信息的连接(只要该数据不在非安全页面上持续到另一个非安全页面)

这样的安全性是基于事务的

一旦您以非安全方式(HTTP)加载页面,您就可以加载安全内容,只要您的ajax使用的是安全url(HTTPS)

除此之外,在处理安全的用户数据时,肯定还有其他安全问题,但只要捕获数据的调用是通过HTTPS连接完成的,那么就可以了

另一个例子是,如果你制作了一个表格,记录了用户的信息。包含表单的页面不需要通过HTTPS传递,您只需要在用户将数据提交到应用程序进行处理时使用HTTPS。不要认为“页面”是由HTTPS保护的,只需要“事务”

编辑:

重读你的问题,我想我可能做了一个假设。如果您在页面加载后获取这些安全数据,并且通过HTTPS连接使用ajax这样做,那就很好了

但是在你的问题中,你没有提到使用ajax。如果您一次获取所有数据并将其发送给用户,然后在页面上隐藏/显示数据,那么是的,该页面需要为HTTPS。即使最终页面“隐藏”了安全数据,您仍在通过非安全连接传输安全数据。

该“页面”不需要是HTTPS。只有获取信息的连接(只要该数据不在非安全页面上持续到另一个非安全页面)

这样的安全性是基于事务的

一旦您以非安全方式(HTTP)加载页面,您就可以加载安全内容,只要您的ajax使用的是安全url(HTTPS)

除此之外,在处理安全的用户数据时,肯定还有其他安全问题,但只要捕获数据的调用是通过HTTPS连接完成的,那么就可以了

另一个例子是,如果你制作了一个表格,记录了用户的信息。包含表单的页面不需要通过HTTPS传递,您只需要在用户将数据提交到应用程序进行处理时使用HTTPS。不要认为“页面”是由HTTPS保护的,只需要“事务”

编辑:

重读你的问题,我想我可能做了一个假设。如果您在页面加载后获取这些安全数据,并且通过HTTPS连接使用ajax这样做,那就很好了

但是在你的问题中,你没有提到使用ajax。如果您一次获取所有数据并将其发送给用户,然后在页面上隐藏/显示数据,那么是的,该页面需要为HTTPS。您仍在通过非安全连接传输安全数据,即使结束页正在“隐藏”它。

答案无疑是。如果不使用HTTPS保护整个会话,则攻击者将获取会话id并使用该id而不是用户名/密码

您所描述的内容明显违反了OWASP前10名:。

答案无疑是。如果不使用HTTPS保护整个会话,则攻击者将获取会话id并使用该id而不是用户名/密码

您所描述的内容显然违反了OWASP前10条:。

它只从对话框发送数据,而不是从所有页面发送数据。在我检查Http请求后,我还看到https请求与HttPFox一起发送(我认为它是用ajax发送的)-(我分析了我没有创建的网站,如果您知道可以检查它的在线工具,请告诉我。)HttPFox工作正常。如果你使用的是chrome,你也可以使用他们的内置开发工具。使用您正在使用的任何工具,您只需要验证安全数据是否仅通过HTTPS调用传输。如果是这样的话,就像你的情况一样,那么你很乐意去。所以为什么谷歌,雅虎等等。。使用1。https页面的所有登录页面,以gmail,雅虎邮件?2.不在其内容页对话框中使用https安全性注册或登录。问题是,如果安全的话,为什么不是每个人都使用这个选项,因为它对网站用户来说非常舒适。我在这个答案中找到了很好的解释:通过CAF,人们看到了HTTPS中的锁或S,尽管不了解底层技术,但仍然感到安全。因此,对于公司来说,在与登录、提交安全信息等相关的任何页面上使用HTTPS都更容易。。。让人们感到安全。或者他们可能在后台传输数据,这些数据对页面上的用户是隐藏的,因此他们使用HTTPS。它只从对话框发送数据,而不是从所有页面发送数据。在我检查Http请求后,我还使用HttPFox看到HTTPS请求(我认为它是通过ajax发送的)——(我分析了我并没有创建的网站,若你们知道可以检查它的在线工具,请告诉我。)HttpFox工作正常。如果你使用chrome,你也可以使用他们的内置开发工具。使用你正在使用的任何工具,你只需要验证安全数据是否只通过HTTPS调用传输。如果是这样的话,就像你的情况一样,那你就可以去了。所以为什么谷歌、雅虎等使用1.HTTPS页面他们所有的登录页面都是gmail,yahoo mail?2.没有在他们的内容页面对话框中使用https安全注册或登录。问题真的是为什么不使用ev