場景:我所在的網頁使用HTTP。它包含一個登錄表單。表單操作使用HTTPS。是否從HTTP頁面發送登錄憑據安全?
問題:我的登錄憑據是否安全,還是必須使用HTTPS的頁面?
從後續:https://twitter.com/falkowski/status/525354785437147136
場景:我所在的網頁使用HTTP。它包含一個登錄表單。表單操作使用HTTPS。是否從HTTP頁面發送登錄憑據安全?
問題:我的登錄憑據是否安全,還是必須使用HTTPS的頁面?
從後續:https://twitter.com/falkowski/status/525354785437147136
從技術上講,這僅僅是形式的行動,要求HTTPS。
但是,當您嘗試混合安全和不安全的資源時,IE特別抱怨。另外,具有這樣的配置表明該服務的編寫者正在懶惰。
該設計將排除最新的安全配置,例如嚴格的傳輸安全&完美向前保密並且還會阻止網站使用SPDY。糟糕的設計。
從用戶的角度來看,更糟糕的是,幾乎不可能檢查該網站是否使用安全連接,並且如果沒有任何人更聰明,將表單提交更改爲非安全將是微不足道的。糟糕的設計!
但我想指出的是,幾年前,當HTTPS是Web服務器上的一項重要開銷時,這是很常見的做法。事情已經開始,但情況已經不復存在。從另一個線程
參考:Is it secure to submit from a HTTP form to HTTPS?
TLDR:提交本身在技術上是安全的,但因爲周圍的網頁是容易受到MITM攻擊它不是。
可能重複的[從HTTP表單提交到HTTPS是否安全?](http://stackoverflow.com/questions/274274/is-it-secure-to-submit-from-a-http-form -to-HTTPS) – MrTux 2014-10-29 12:48:01