通过HTTPS发送数据时,我知道内容已加密,但我听到有关标头是否已加密或标头加密程度的混合答案 .
有多少HTTPS标头已加密?
包括GET / POST请求URL,Cookie等 .
URL也是加密的,你真的只有IP,端口和SNI,主机名是未加密的 .
整个批次都是加密的† - 所有 Headers . 那个's why SSL on vhosts doesn' t工作得太好了 - 你需要一个专用的IP地址,因为主机头是加密的 .
†服务器名称标识(SNI)标准意味着如果您使用SNI,主机名可能不会被加密,TCP和IP标头永远不会被加密 . (如果是,您的数据包将无法路由 . )
标头完全加密 . 通过网络“清除”的唯一信息与SSL设置和D / H密钥交换有关 . 此交换经过精心设计,不会向窃听者提供任何有用的信息,一旦发生,所有数据都会被加密 .
HTTP版本1.1添加了一个特殊的HTTP方法CONNECT--旨在创建SSL隧道,包括必要的协议握手和加密设置 .此后的常规请求将全部包含在SSL隧道,包含标头和正文中 .
对旧问题的新答案,对不起 . 我以为我会加我的$ .02
OP询问 Headers 是否已加密 .
他们是:在途中 .
他们不是:不在途中 .
因此,您的浏览器的URL(以及 Headers ,在某些情况下)可以显示查询字符串(通常包含最敏感的详细信息)和 Headers 中的一些详细信息;浏览器知道一些 Headers 信息(内容类型,unicode等);和浏览器历史记录,密码管理,收藏夹/书签和缓存页面都将包含查询字符串 . 远程端的服务器日志还可以包含查询字符串以及一些内容详细信息 .
此外,URL并不总是安全的:域,协议和端口是可见的 - 否则路由器不知道将请求发送到何处 .
此外,如果您有HTTP代理,代理服务器知道地址,通常他们不知道完整的查询字符串 .
因此,如果数据正在移动,则通常会受到保护 . 如果它没有传输,则不加密 .
不要挑选,但最后的数据也是解密的,可以随意解析,读取,保存,转发或丢弃 . 并且,任何一端的恶意软件都可以获取进入(或退出)SSL协议的数据的快照 - 例如(在HTML内部的页面内的(坏)Javascript,它可以偷偷地对登录网站进行http(或https)调用(因为访问本地硬盘)通常是受限制的,没有用处) .
此外,Cookie也不会在HTTPS协议下加密 . 希望将敏感数据存储在cookie中(或其他任何地方)的开发人员需要使用自己的加密机制 .
至于缓存,大多数现代浏览器都不会缓存HTTPS页面,但这个事实不是由HTTPS协议定义的,它完全依赖于浏览器的开发者,以确保不缓存通过HTTPS接收的页面 .
所以如果你担心数据包嗅探,你可能还可以 . 但是,如果您担心恶意软件或者有人在浏览您的历史记录,书签,Cookie或缓存,那么您还没有脱离困境 .
使用SSL时,加密处于传输级别,因此它在发送请求之前发生 .
所以请求中的所有内容都是加密的 .
HTTPS(HTTP over SSL)通过SSL tunel发送所有HTTP内容,因此HTTP内容和标头也会被加密 .
是的, Headers 是加密的 . 它写的是here .
HTTPS消息中的所有内容都已加密,包括标头和请求/响应负载 .
8 回答
URL也是加密的,你真的只有IP,端口和SNI,主机名是未加密的 .
整个批次都是加密的† - 所有 Headers . 那个's why SSL on vhosts doesn' t工作得太好了 - 你需要一个专用的IP地址,因为主机头是加密的 .
†服务器名称标识(SNI)标准意味着如果您使用SNI,主机名可能不会被加密,TCP和IP标头永远不会被加密 . (如果是,您的数据包将无法路由 . )
标头完全加密 . 通过网络“清除”的唯一信息与SSL设置和D / H密钥交换有关 . 此交换经过精心设计,不会向窃听者提供任何有用的信息,一旦发生,所有数据都会被加密 .
HTTP版本1.1添加了一个特殊的HTTP方法CONNECT--旨在创建SSL隧道,包括必要的协议握手和加密设置 .
此后的常规请求将全部包含在SSL隧道,包含标头和正文中 .
对旧问题的新答案,对不起 . 我以为我会加我的$ .02
OP询问 Headers 是否已加密 .
他们是:在途中 .
他们不是:不在途中 .
因此,您的浏览器的URL(以及 Headers ,在某些情况下)可以显示查询字符串(通常包含最敏感的详细信息)和 Headers 中的一些详细信息;浏览器知道一些 Headers 信息(内容类型,unicode等);和浏览器历史记录,密码管理,收藏夹/书签和缓存页面都将包含查询字符串 . 远程端的服务器日志还可以包含查询字符串以及一些内容详细信息 .
此外,URL并不总是安全的:域,协议和端口是可见的 - 否则路由器不知道将请求发送到何处 .
此外,如果您有HTTP代理,代理服务器知道地址,通常他们不知道完整的查询字符串 .
因此,如果数据正在移动,则通常会受到保护 . 如果它没有传输,则不加密 .
不要挑选,但最后的数据也是解密的,可以随意解析,读取,保存,转发或丢弃 . 并且,任何一端的恶意软件都可以获取进入(或退出)SSL协议的数据的快照 - 例如(在HTML内部的页面内的(坏)Javascript,它可以偷偷地对登录网站进行http(或https)调用(因为访问本地硬盘)通常是受限制的,没有用处) .
此外,Cookie也不会在HTTPS协议下加密 . 希望将敏感数据存储在cookie中(或其他任何地方)的开发人员需要使用自己的加密机制 .
至于缓存,大多数现代浏览器都不会缓存HTTPS页面,但这个事实不是由HTTPS协议定义的,它完全依赖于浏览器的开发者,以确保不缓存通过HTTPS接收的页面 .
所以如果你担心数据包嗅探,你可能还可以 . 但是,如果您担心恶意软件或者有人在浏览您的历史记录,书签,Cookie或缓存,那么您还没有脱离困境 .
使用SSL时,加密处于传输级别,因此它在发送请求之前发生 .
所以请求中的所有内容都是加密的 .
HTTPS(HTTP over SSL)通过SSL tunel发送所有HTTP内容,因此HTTP内容和标头也会被加密 .
是的, Headers 是加密的 . 它写的是here .