AJAX in https pages

AJAX in https pages

במידה שאני משתמש ב-AJAX בדף https, האם המידע שמועבר ע"י xmlHttpRequest מאובטח?
 

XiroX

New member
לא

הוא מועבר בדיוק באותה הדרך שכל קריאת HTTP אחרת נעשית
 

pelegk2

New member
בוודאי שכן

אם אתה נמצא כרגע בדף HTTPS ומבצע פניה ב AJAX לדף באתר שלך גם הוא נשלח ב HTTPS, אלא כם אן ציינת לינק מפורש שכתוב בו רק HTTP במקרה כזה תזרק לך אזהרה שאתה פונה בפרוטוקול לא מבאוטח בדף שהוא כן מאוהבטח
 

XiroX

New member
והתשובה היא עדין לא

AJAX אינו פרוטוקול מאובטח. אם הוא פונה לכתובת שמצפינה את המידע, אז המידע יוצפן, אך זה אינו קשור לAJAX, אלא לHTTP\S
 

thinking8

New member
מה זה AJAX?

זה בסך הכל שימוש באובייקט XMLHTTP שבנו לו מעטפת ולכן אם הדף שלך הוא ב HTTP ככה גם הפניות של ה AJAX מתוך הנחה שלא שמת כתובת URL מפורשת עם HTTP וכנ"ל להפך.
 

XiroX

New member
זו בדיוק הנקודה שלי

השאלה הייתה אם מידע שמועבר בAJAX הוא מאובטח, והתשובה היא לא, כי AJAX הוא בסך הכל יצירת עוד ערוץ תקשורת מול השרת. הסיבה שאני מדגיש את ה "לא" היא כי אני מבין שהשאלה היא האם להשתמש בAJAX זה תחליף לאבטחת מידע, וחשוב מאוד להדגיש שאין דבר שגוי מזה. אין קשר בין AJAX לאבטחת מידע. המידע צריך להיות מאובטח במקום אחר, ואפן הגישה אילו אינו קשור לחלק בדפדפן איתו בוחרים לתקשר
 

thinking8

New member
ברור ש AJAX הוא לא תחליף לאבטחת מידע

אבל הוא תלוי בפרוטוקול שאתה משתמש בו בדף כרגע והאם אתה באובייקט עצמו מגדיר פניה ב HTTP או HTTPS
 
תודה חברים

לאחר תשובותיכם, בדקתי בצד שרת ואכן ה-URL שמגיע לשרת מ-xmlHttpRequest שבדף https, מתחיל בסכמה https, וגם הפורט הוא הפורט שמצויין בשרת עבור https.
 

בסג

New member
דיוק

אם בדף https://x.com/x.htm אתה פונה סתם לy.htm - זה יפנה בHTTPS. אם בדף http://x.com/x.htm אתה פונה סתם לy.htm - זה יפנה בHTTP. אבל! אם בדף, לא משנה איזה, תפנה ל-http://x.com/y.htm - זה יפנה בHTTP. ואם תפנה ל-https://x.com/y.htm זה יפנה בHTTPS. רק כאשר פונים ללא ציון הסכמה (וללא ציון הדומיין) זה פונה בסכמה של הדף שבו הקריאה נמצאת (כמו שזה פונה לאותו דומיין ומתייחס לאותו נתיב בשרת).
 
לא מדויק

אם אתה נמצא בדף https://x.com/a.htm ואתה מופנה בAJAX לדף http://x.com/y.htm אתה תקבל הודעה בדפדפן שמתריעה שהאתר מנסה לגשת לנתיב לא מאובטח מתוך דף מאובטח.
 

XiroX

New member
אני מתכוון

שבמקרה והשימוש ב xmlHttpRequest הוא ב HTTP אז התעבורה אינה מוצפנת ולכן אינה מאובטחת
 
למעלה