Security 保护HTTP请求的某些部分?
如何保护HTTP请求的部分,比如会话ID?我知道你可以使用HTTPS,但是你的服务器必须解密所有的请求。只加密请求的必需部分不是很理想吗Security 保护HTTP请求的某些部分?,security,http,networking,https,network-security,Security,Http,Networking,Https,Network Security,如何保护HTTP请求的部分,比如会话ID?我知道你可以使用HTTPS,但是你的服务器必须解密所有的请求。只加密请求的必需部分不是很理想吗 是否有任何框架或资源允许您或告知您如何做到这一点?HTTPS是正确的工具。解密数据包的计算负载非常低。谷歌在今年早些时候将整个GMail默认改为HTTPS,他们报告说,他们服务器上用于SSL加密/解密的CPU负载约为1% 如果只加密流的一部分,那么仍然存在中间人攻击和重放攻击的问题。SSL是防止这些问题的唯一方法。会话ID是否加密并不重要。如果中间的人能够捕获
是否有任何框架或资源允许您或告知您如何做到这一点?HTTPS是正确的工具。解密数据包的计算负载非常低。谷歌在今年早些时候将整个GMail默认改为HTTPS,他们报告说,他们服务器上用于SSL加密/解密的CPU负载约为1% 如果只加密流的一部分,那么仍然存在中间人攻击和重放攻击的问题。SSL是防止这些问题的唯一方法。会话ID是否加密并不重要。如果中间的人能够捕获它,他可以以加密的形式重用它,服务器就不会知道其中的区别
关于谷歌自GMail切换到100%SSL后的体验。HTTPS要么全有要么全无。如果不是页面上的所有元素都使用HTTPS进行保护,那么用户通常会在左上角得到一个“断锁”。这是因为攻击者可以使用它来注入类似于xss的攻击,并获取
document.cookie