我有2個服務器,Web和Api。 Web提供網頁,Api提供json。從https到http的代理請求安全嗎?
我希望能夠從Web到Api進行ajax調用,但我想避免CORS預發送請求。相反,我想代理https://web.com/api/path的所有請求到https://api.com/path。
我能夠得到這個工作的唯一方法是在向api服務器發出請求時放棄https。換句話說,它是https://web.com/some/page→https://web.com/api/path→http://api.com/path。
我是否會因爲在代理請求中刪除https而讓自己容易受到攻擊?
(我會作出評論,但我沒有足夠的代表處)
我認爲這將在很大程度上取決於你的意思是什麼代理。
如果你確實使用代理(也就是你的第一臺服務器轉發請求到第二,並通過第一回來),那麼你只能是那些兩個服務器之間的連接一樣脆弱。如果他們在物理上接近,通過專用網絡,我不會擔心它太多,因爲攻擊者將不得不妥協您的物理網絡。如果他們通過開放的互聯網進行通信,您可能會發生其他攻擊(如果您不提供實際的IP地址,就會想到DNS欺騙),我不推薦這樣做。
如果「代理」你指的是網頁製作一個Ajax調用您的API服務器,這將開闢東西向橫跨在互聯網上,代理可以在相同的攻擊。
當然,這一切都取決於你在JSON中提供什麼。如果有任何涉及認證或與會話相關的信息,我不會將其解密。如果只是基本信息對所有用戶都是一樣的,那麼你可能並不在乎。但是,熟練的攻擊者可能操縱了中間人攻擊的數據,所以我仍然會對其進行加密。