我已经build立了我的networking服务器来使用SSL(在我将它移动到公共服务器之前,我正在使用WAMP作为分段场景)。 该站点的目的是成功的,我可以使用HTTPS协议在远程计算机上使用该站点。
我的一个用户(testing人员)提出的一个问题是关于POST数据。 在他的testing场景中,他现场在我们的潜在客户之一,在他们非常挑剔的公司防火墙后面访问网站(我们已经计算出这个网站是如何适用于他们的AUP,而且我们是干净的)。 他使用Firebug在FireFox中运行该站点来监视POST和GET数据。 问题在这里:
在他的Firebug窗口中,来自XMLHTTPRequest的POST和Response以纯文本格式返回。 那是因为他是谁发起了安全连接? POST / Response数据是否显示给networkingpipe理员或日志?
请注意,这里的意图不是欺骗pipe理员或规避政策; 这是针对需要传输敏感数据的各个地点的现场人员的应用程序。 使用情况将与我们遇到的每个networking基础设施相协调
是的,POST数据应该被encryption。 HTTP请求中的所有内容都应在SSL对话中进行encryption。 在SSL数据被浏览器解密之后,Firebug获取它的信息。 如果你想确保使用像Fiddler或WebScarab这样的代理服务器,尽pipe你可能需要玩游戏才能让它们和SSL一起玩。 以下是如何使用Fiddler 解密HTTPSstream量的页面。