私がにいるとしましょうhttp://www.domain.com/page.html。
このフォームを送信したい:
<FORM METHOD="post" ACTION="https://DifferentSite.com/processForm.aspx">
....
</FORM>
サーバーはwww.domain.com実際にフォームからの情報をどの時点でも見ていますか? それとも、これはクライアントから直接 に直接送信されDifferentSite.comますか?
たとえば、上記のように、フォーム送信は HTTPS を呼び出し、私がアクセスしているサイトは HTTP のみ (SSL なし) です。また、domain.com サーバーがフォーム情報を認識して送信する場合 (暗号化されている場合でも)、PCI コンプライアンスに影響します。
皆さんありがとう。
フォーム HTML (www.domain.com) を送信したサーバーには、送信されたデータは表示されません。これは直接 DifferentSite.com に送られ、DifferentSite.com の公開鍵で暗号化されているため、www.domain.com はデータを受け取っても調べることができませんでした。
www.domain.com のサーバーは、実際にフォームからの情報をどこかで見ていますか?
本質的にではありませんが、送信前に JavaScript を使用してスニッフィングできます (または、そのサイトによって設定されているため、URL を変更します)。
それとも、これはクライアントから直接 DifferentSite.com に直接送信されますか?
はい
たとえば、上記のように、フォーム送信は HTTPS を呼び出し、私がアクセスしているサイトは HTTP のみ (SSL なし) です。
中間者攻撃は、フォームを書き換えて、データを別の場所に送信する (または別の場所にコピーして、送信を目的のサイトに継続させる) 可能性があります。