如果我在“http://example.com/login”中使用 GET 动词创建此页面:
<form action="https://example.com/login" method="post">
<input type="text" name="login"/>
<input type="password" name="pass"/>
<input type="submit" value="Login"/>
</form>
这是安全漏洞吗?我的意思是,该页面是 HTTP,但在发送数据时它使用 HTTPS。我已经多次读到我应该在登录页面中要求 HTTPS,但我不清楚为什么。
最佳答案
是的,它有缺陷。只要用户看到的是您的登录表单,您所拥有的就目前而言是安全的。
因为您的登录表单不安全,我可以来替换我自己的欺骗登录表单并收集您用户的登录详细信息,例如。通过中间人攻击。登录系统只有在登录表单和目标页面都使用 SSL 时才是安全的。
此外,它对用户来说看起来也不安全。用户在登录表单上查找挂锁符号,而您的没有。
关于https - 从HTTP到HTTPS,越快越好?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6329214/