我今天做了一个有趣的实验。
我在浏览器中打开 Amazon.com,登录,打开 Fiddler,并尝试添加一张全新的信用卡。
我输入了我的信用卡号、有效期和持卡人姓名。当我提交请求时,我在 Fiddler 中没有看到任何发送到 Amazon 的 POST 信息。用户界面说提交我的信息时出现问题,我应该重试。
我重复了一遍并得到了相同的响应。
我关闭了 Fiddler 并点击提交。我的信息立即被接受。
我想知道亚马逊是如何实现这一壮举的。这是常识吗?是否有一个涉及证书的 HTTP header 可以让这件事变得简单?
最佳答案
我认为这是证书固定或类似的东西。服务器证书固定在应用程序中,因此应用程序仅接受它,而不接受任何其他证书,即使它们是有效的。
关于security - 从应用程序中检测中间人,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36872931/