我已將 Web 伺服器設定為使用 SSL(在將其移至公用伺服器之前,我在暫存場景中使用 WAMP)。目前網站的目的已成功,我可以使用 HTTPS 協定從遠端電腦使用該網站。
我的一位使用者(測試人員)提出的一個問題是關於 POST 資料的。在他的測試場景中,他在我們的一位潛在客戶現場,並訪問他們非常挑剔的公司防火牆後面的網站(我們已經弄清楚該網站如何應用於他們的 AUP,並且我們是乾淨的)。他在 FireFox 中運行該站點,並使用 Firebug 來監視 POST 和 GET 資料。問題在這裡:
在他的 Firebug 視窗中,來自 XMLHTTPRequest 的 POST 和回應以純文字形式傳回。難道是因為他是發起安全連線的人嗎? POST/回應資料會顯示給網路管理員或日誌嗎?
請注意,此處的目的不是欺騙管理員或規避政策;這是一款專為需要傳輸敏感資料的不同地點的現場人員而設計的應用程式。使用將與我們遇到的每個網路基礎設施相協調。
答案1
是的,POST 資料應該加密。 HTTP 請求中的所有內容都應在 SSL 會話中加密。 Firebug 在 SSL 資料被瀏覽器解密後取得其資訊。如果你想確保,請使用類似的東西提琴手或者網路聖甲蟲作為介於兩者之間的代理,儘管您可能需要玩遊戲才能讓它們與 SSL 很好地配合。這是有關如何操作的頁面解密 HTTPS 流量使用提琴手。