我的应用是基于Spring框架的,用于传输非常 secret 的数据。在使用Fiddler、Paros Proxy等代理工具测试应用时,发现这些工具在拦截请求数据,数据是在到达服务器之前很容易修改。
我的应用程序当前未与 SSL 集成。我们将实现 SSL/HTTPS。但这是因为尚未集成 SSL 吗?
代理工具在没有 HTTPS 的情况下拦截来自 Web 应用程序的数据是否正常?
最佳答案
这里有两件事。
1) 如果您不使用 SSL,则通信未加密,这意味着任何能够拦截流量的人都可以看到内容。您不一定需要代理。
2) 通过拦截 HTTP 代理,您还可以看到 SSL 加密流量。代理所做的是建立两个独立的 SSL 隧道,一个在服务器和代理之间,一个在客户端和代理之间。这样代理本身就可以看到整个流量。当然,代理只能提供伪造的 SSL 证书,这会在浏览器中为用户触发通知,但他可能会忽略它。
关于http - 没有 SSL 集成的 Web 应用程序被代理拦截,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35360123/