我正在开发的应用程序(带有注册/登录的简单系统,1 DB,CRUD)位于具有 SSL 证书的域上(使用 https 粘贴 URL 时出现挂锁)。这是否意味着将使用 SSL 并且我不需要向我的应用程序添加任何代码?
问问题
33 次
您无法确定服务器端是否正在使用 SSL。当然,您可以将 Web 服务器设置为拒绝 HTTP 连接或将其重定向到 HTTPS(这通常在 Web 服务器中设置,而不是在应用程序中)。但除非您要求您的客户提供证书,否则此设置不会阻止中间人攻击。攻击者可以设置一个只接受来自客户端的 HTTP 连接的代理,然后通过 HTTPS 连接到服务器。
有关此攻击的实际成功实施,请参见sslstrip。