我在使用 OWASP ZAP(一种用于本地浏览器流量嗅探的代理)启用和禁用 SSL 的情况下测试我的网站,并注意到我的登录信息是通过 HTTPS 和 HTTP 以明文形式发送的。有办法避免这种情况吗?
我使用 Tomcat 8 和 Eclipse Mars 作为编写网站的 Java IDE。 (下图,因为我没有足够的代表来正确提交) https://s3.amazonaws.com/f.cl.ly/items/1N0h1l0K12470p2K123s/Image%202015-04-02%20at%202.52.00%20AM.png
最佳答案
您误解了您所看到的内容——或者更准确地说,您没有考虑到您所看到的内容的含义。
根据定义,它是通过 HTTPS 发送的,而不是以明文形式发送的。
OWASP ZAP 是错误的观察工具,因为它被设计为能够在中间破解 SSL 连接,以进行观察……但是这种中间人方法不能完成without your complicity .
一个更合适的工具来查看您的流量确实不是明文形式的是数据包嗅探器,例如 wireshark ,其中 HTTP 和 HTTPS 之间的区别将是显而易见的。
关于java - 通过 SSL 以明文形式发送登录信息?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29403762/