我正在开发将通过休息进行通信的客户端/服务器应用程序。一些自定义请求数据将存储在请求的标头中。发送请求的服务器和接收服务器都具有SSL证书，标头会被加密还是仅被加密？

解决方案

回答

SSL会加密从客户端到服务器再到服务器的整个通信路径，因此，标头将被加密。

顺便说一句，如果我们开发网络应用程序并关心数据安全性，那么我们至少应该读一本书，如Niels Ferguson和Bruce Schneier撰写的《实用密码学》，而进一步阅读更侧重于Web应用程序安全性的书可能会很好。主意。请允许我观察一下，并不是说作为个人批评，问题表明根本不了解非常基本的Web安全技术，这绝不是一个好兆头。

同样，确认假定已加密的数据确实已加密绝对不是一个坏主意。我们可以使用网络分析仪来监视网络上的流量，并注意任何明文发送的敏感内容。有时，在结果令人惊讶之前，我已经使用Wireshark进行了此操作。

回答

标头和内容均被加密。

回答

SSL ..或者更确切地说，HTTPS(基于SSL的HTTP)通过SSL发送所有HTTP内容，并且由于HTTP内容和标头实际上是同一件事，因此这意味着标头也已加密。
看到GET和POST数据是通过HTTP标头发送的，那么只有在安全地发送数据时才有意义，而不仅仅是希望对响应代码或者内容进行加密。

回答

只要我们在SSL隧道中进行通信，服务器和客户端之间发送的所有内容都会被加密。加密在发送或者接收任何数据之前完成。

回答

仅凭证书是不够的，我们必须配置Web服务器以加密该域或者虚拟主机的连接(即使用证书)。另外，我认为我们只需要一个证书，对请求的响应仍将被加密。

是的，HTTP标头和数据都被加密。

回答

我们似乎认为REST是一种独特的协议。

REST不是协议。这是基于HTTP的应用程序的设计风格。

因此，我们正在编写一个HTTP应用程序。标头是否已加密？是的，如果我们使用的是HTTPS(基于SSL的HTTP)协议而不是纯HTTP。

双方都有证书与问题没有直接关系。 SSL证书用于身份验证。它们有助于检测中间人攻击，例如使用DNS缓存中毒可能发生的攻击。

回答

其他答案是正确的：使用SSL时，报头确实与主体一起被加密。但是请记住，可能包含查询参数的URL永远不会被加密。因此，请注意不要在URL查询参数中放置任何敏感信息。

更新：正如@blowdart在下面指出的那样，这是错误的。请参阅下面的评论。