假设我在http://www.domain.com/page.html.
我想提交这个表格:
<FORM METHOD="post" ACTION="https://DifferentSite.com/processForm.aspx">
....
</FORM>
服务器是否www.domain.com真的在任何时候看到了表单中的任何信息?或者,这是否直接来自客户端DifferentSite.com?
我问的原因,例如如上所示,表单提交调用了 HTTPS,而我所在的站点只有 HTTP(没有 SSL)。如果 domain.com 服务器确实看到并传输表单信息(即使已加密),它也具有 PCI 合规性影响。
谢谢大家。
发送表单 HTML (www.domain.com) 的服务器将看不到提交的数据。这直接发送到 DifferentSite.com,并使用 DifferentSite.com 的公钥加密,因此 www.domain.com 即使收到数据也无法检查。
www.domain.com 上的服务器是否真的在任何时候看到了表单中的任何信息?
本质上不是,但它可以在提交之前用 JavaScript 嗅探它(或更改 URL,因为它是由该站点设置的)。
或者,这是否直接从客户直接发送到 DifferentSite.com?
是的
我问的原因,例如如上所示,表单提交调用了 HTTPS,而我所在的站点只有 HTTP(没有 SSL)。
中间人攻击可以重写表单以将数据发送到其他地方(或将其复制到其他地方并让提交继续到预期的站点)。