从非安全页面向安全url提交表单

Question

假设我在此位置的页面上有一个表单...

http://mydomain.com/myform.htm

表格是这样的..。

<form method="post" action="https://secure.otherdomain.com/handleform.php">
   ....
</form>

假设在接收表单提交的服务器上安装了有效的SSL证书，该表单提交的内容是否会被加密？

Answer 1

POST请求将通过HTTPS传输(如果配置正确，则会进行加密)。将表单从通过纯HTTP获取的页面提交到HTTPS页面是不好的做法。初始页面也应该通过HTTPS提供。这样做的原因是MITM攻击者可以截获加载表单页面的响应，并替换指向另一个目标的链接。

请看这里的第一条规则(当然，不是特定于登录页面)：

• https://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet#Rule_-_Use_TLS_for_All_Login_Pages_and_All_Authenticated_Pages

规则-对所有登录页面和所有经过身份验证的页面使用

登录页面和所有后续经过身份验证的页面必须通过TLS以独占方式访问。初始登录页面，称为“登录登录页面”，必须通过TLS提供。如果不能将TLS用于登录登录页面，则会允许攻击者修改登录表单操作，从而导致将用户凭据发布到任意位置。登录后未能将TLS用于经过身份验证的页面，使得攻击者能够查看未加密的会话ID并危害用户的经过身份验证的会话。

Answer 2

假设可以在服务器和客户端之间协商有效的SSL/TLS会话，则是。这意味着客户端必须愿意信任服务器提供的任何证书，并且双方可以协商双方同意的密码集(使用什么算法等)。您可以设置大量的配置选项来更改允许的内容，但在“正常”实现中，您不需要纠结于需要特定的、非正常的算法、要求客户端证书身份验证等，一切都应该正常工作，如果由于某种原因失败，您将拥有一个受保护的session...and，您将知道您的客户端将收到关于哪里出了问题的错误。

请注意，通常情况下，虽然您可以这样做，并且传输将被加密，但您通常不应该这样做。让一个未加密/受保护的页面提交给一个，会让你容易受到几种类型的中间人攻击。你可以在OWASP上看到这篇文章，以及为什么它不好，here。

Answer 3

是。它将被安全地传输。