在我未使用 SSL 封装的网页中,我有一个登录表单。用户可以输入他们的用户名和密码,并在该登录表单中提交信息以进行身份验证。
登录表单中指定的操作是 https:///login。这足以加密 into 还是两个页面都必须 ssl 包装?
谢谢 埃里克
最佳答案
够了
这样一来,攻击者就无法获取登录用户和密码,因为浏览器正在以加密方式发送它们。 但是 如果在登录后您恢复到纯 http,攻击者可能会嗅探 session cookie 并使用它来冒充您的用户。参见 firesheep了解详情。
关于http - 如何从非 SSL 包装页面安全地提交登录信息?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5472857/