HTTPS里面request的head也加密吗? - 问答

yiissy001 2015-08-20 10:47:16 26017次浏览 5条回答 0 悬赏 10 金钱

RT
准备在新项目里每次把username和password都放在头里传过去做验证,不知道HTTPS能不能把头里面的信息也加密

https

koko 回答于 2015-08-20 15:30 举报

假设这头信息已加密，客户端如何来解密？

共 2 条回复

然回复于 2015-08-21 10:36 回复

如，头部不加密，那么我是否可以通过劫持Wi-Fi等来获取Cookie？

koko 回复于 2015-08-21 10:44 回复

@然我对这https工作原理理解不够，或许如楼下所言，我使用的工具抓取的数据已经是解密以后的了。

回复 0 0
naivefang 回答于 2015-08-20 21:39 举报

https和http都是基于socket/tcp的，只是一个是加密的一个没有加密。

https报文在被包装成tcp报文的时候完成加密的过程，无论是https的header域也好,body域也罢都是会被加密的，在与服务器端通信的时候是用的密文。这个你可以用wireshark或者tcpdump之类的抓包工具看一下就知道了。

所以，如果你的restful api对用户身份认证的鉴权令牌放在header里面一般是安全的，除非客户端把自己的令牌泄露了。

共 2 条回复

koko 回复于 2015-08-21 09:39 回复

用了firefox上的live http headers 抓本地和https服务器的通信是明文的...

naivefang 回复于 2015-08-21 09:47 回复

@koko 你用tcpdump之类的tcp层工具抓包，应用层抓包那是浏览器底层已经完成解密处理过了的..

回复 0 0
500miles 回答于 2015-08-21 09:40 举报

是的.

http 本身是明文的, 属于应用层协议;
ssl 位于各种应用层协议[http,ftp等] 和 tcp/ip 协议簇之间, 加密数据, 提供安全保障;
这两者构成 https;
理论上讲, https是可以防止第三方窥探, 是足够安全的;
但最好还是采用token方式, 密码这东西太敏感;

回复 0 0
kangzhq 回答于 2015-08-21 19:13 举报

@kangzhq

回复 0 0
dyllen 回答于 2015-08-26 22:12 举报

用HTTPS协议，头的信息也是加密的。

那位哥说的“用了firefox上的live http headers 抓本地和https服务器的通信是明文的”，他那是在浏览器内部的工具，这些东西都是浏览器处理完成之后的内容。

你用wireshark抓个包看看！用http和https分别试试你就知道了。

回复 0 0