加密的请求和响应主体和参数，即使我们已经有SSL / TLS？

Question

如果我们已经有了SSL / TLS，我们在客户端和服务器之间的http请求和响应中发送的加密数据是否有任何附加值？

我得到的SSL/TLS已经加密通过传输层的SSL/TLS连接的流量，但如果我们想要防止浏览器用户读取请求和响应数据，在发送之前加密它会在阻止用户读取它方面有什么价值吗？

例如，我可以转到Network -> XHR requests ->，查看客户机和服务器之间正在传输哪些数据。

Answer 1

...但是如果我们想阻止浏览器用户读取请求和响应数据，...

看起来您是在试图通过使用开发人员控制台并查看请求和响应来阻止简单的反向工程。虽然在Javascript中加密/解密数据会使这种简单的反向工程变得更加困难，但这通常不会阻止反向工程:最终，浏览器需要能够访问明文信息，这样一些反向工程就可以进入您的基于Javascript的加密的相关部分，从而在加密之前和解密之后访问数据。

通常:如果您的应用程序的安全性需要针对应用程序本身的用户进行保护，那么安全设计很可能是错误的。