ssl - 即使我们已经有 SSL / TLS 加密请求和响应正文和参数?
问题描述
如果我们已经有 SSL / TLS,我们在客户端和服务器之间发送的 http 请求和响应中的加密数据是否有任何附加值?
我得到 SSL/TLS 已经为 SSL/TLS 连接的传输层加密了流量,但是如果我们想阻止浏览器用户读取请求和响应数据,那么在发送之前加密它会增加任何价值,以防止用户能够读取它?
例如,我可以转到 Network -> XHR requests -> 查看客户端和服务器之间正在传输哪些数据。
解决方案
...但是如果我们想阻止浏览器用户读取请求和响应数据,...
看起来您正试图通过使用开发人员控制台并查看请求和响应来防止可能的简单逆向工程。虽然在 Javascript 中加密/解密数据会使这种简单的逆向工程变得更加困难,但它通常不会阻止逆向工程:最终浏览器需要能够以明文方式访问信息,以便一些逆向工程师可以利用基于 Javascript 的相关部分crypto 在加密之前和解密之后访问数据。
一般来说:如果您的应用程序的安全性需要保护应用程序本身的用户,那么安全设计可能是错误的。
推荐阅读
- android - 如何在 Jetpack Compose 的 TextField 中正确设置高度?
- android - 列表视图中的坐标
- python - 在 TensorFlow 中训练子类模型期间无法设置检查点
- uicollectionview - 将 UICollectionView 上的项目从右到左与右滚动条位置对齐
- hibernate - 如何使用休眠本机查询获取单个记录字符串值?
- python - 在 url 中循环或从 Url 的变化中抓取数据
- java - Android in app billing v4 测试不显示任何内容
- postgresql - 当 autoCommit 为 false 时,EclipseLink v2.7.9 不会在 Postgres v13.3 中生成表
- android - 为什么android的res文件夹中有2个drawable文件夹?
- javascript - 如何访问 Session 变量并在 javascript 中设置它们而不使用 .net core 3.1 中的 viewbag?