私は、サードパーティのWebサイト(ユーザーが技術的知識が非常に低く、SSL証明書が不足していると思われる)に配置されることになっていたhtml/jqueryウィジェットを作成し、AJAXにjqueryを使用してウィジェットの情報をセキュリティで保護されたURLは、情報が適切に正しく保護されるでしょうか?HTTP WebページがHTTPSへのajaxリクエストを行う場合、urlは安全ですか?
編集:誰でも同じ発信元ポリシー/それに関連してSSL証明書を持たないサイトを持っていることを詳しく説明できますか?
データは安全に転送されますが、要求を送信したページは、クライアントに到達する前に傍受して変更することができ、要求を迂回または変更することができます。 (単純なケース - 安全なサーバーとハッカーのサーバーに1つずつ、2つのリクエストを作成する)
セキュリティを必要とする場合は、ページの両方でデータ収集/送信とページ処理を行う必要がありますSSLを通過しました。
(あなたはまた、同一生成元ポリシーの問題に対処する必要があります。)
はい、それはAjaxリクエストにHTTPSを使用します。
オフサイト要求(同じ発信元ポリシー)を作成することはできません。クライアントに適切なSSL証明書がない場合、安全なAJAX要求(?)をどのように作成するのか分かりません。
「セキュア」に使用する定義に依存します。セキュリティは主観的であり、一部の人々は他のものよりも「安全」という「広範な」定義を持っています。
スニッファがネットワーク経由で投稿を受け取ることができるかどうかを「安全」と尋ねる場合は、httpsを使用することで安全と判断します。
しかし、ページがあなたのサーバーにこの投稿をして、ユーザーがしたくないことをしている場合、MY定義では安全ではありません。
たとえば、あなたのサービスがサイトにデータを戻している(言い換えれば正当な目的のために)場合、このスクリプトでサービスを呼び出しても問題ありません。良い例として、あなたのサイトに株式相場の提示を呼びかけることや、そのページに現れる冗談を書くことなどがあります。
あなたのスクリプトがサイト上の自分の存在を追跡するための投稿をしていた場合、潜在的なメーリングリストに私を追加したり、自分のデータを盗み出したり、あなたは私のプライバシーを侵害している、または少なくとも私が実際には起こりたくない、あるいは起こりたくない場面の裏で何かをやっている。その場合、ステルスを使って私を追跡したり、私の個人的および/または財政的なデータ(私のブラウジングの習慣を含む)を盗む活動は、セキュリティ上の違反です。
また、あなたのスクリプトがWebページの既存の防御を弱めたり、新しい脆弱性を導入したりすると、誰の定義でも安全ではありません。