Насколько уязвимы для атак типа «человек в середине», был бы следующий сценарий в пределах того же домена (НЕ междоменного)?Same Domain JSONP Security
Форма на незащищенной странице представляет запрос JSONP, содержащий конфиденциальные данные (в строке запроса) на защищенную страницу.
Предполагая, что на «небезопасный» вы имеете в виду страница обслуживала более простой HTTP без проверки шифрования и сервера, участвующей в HTTPS:
Фактический запрос через HTTPS со страницы HTTP не уязвим для человека-в-в- средний. Однако сама HTTP-страница уязвима: атака MitM может изменить содержимое на этой исходной странице для утечки данных, которые должны были быть отправлены через HTTPS, или иным образом мешать работе страницы многими другими способами, чтобы сделать ее ненадежной ,
Если пользователь может быть уверен, что первая страница HTTP была передана с полной целостностью, тогда данные могут быть гарантированы в безопасности. Но нет никакого способа, чтобы реальный пользователь мог проверять весь контент на этой странице HTTP, чтобы определить это.
Следовательно, вы должны рассматривать отправку с HTTP на HTTPS не более безопасно, чем представление от HTTP к HTTP.
URL-адреса, принадлежащие одному или другому домену, несущественны.
Что вы подразумеваете под защитой? Страница с уязвимостями или просто не использующая https? –
Да, insecure = HTTP, secure = HTTPS – anthony