Non sono riuscito a trovare una risposta chiara, ma se ho la seguente situazione: Accedo a una pagina diciamo link
Ora utilizzo un modulo in questa pagina per eseguire un postback con le funzioni ajax di jquery al seguente URL: link (aspx potrebbe essere qualsiasi cosa, mvc, webform, php, ruby, ecc.)
Questo è sicuro o no? Mi rendo conto che non tutta la sessione è sicura.
O è sicuro, ma i browser si lamenteranno di ciò? Sarà più sicuro usare un dominio completamente diverso? link
No, non è sicuro e l'utilizzo di un altro dominio non aiuterà.
Un utente malintenzionato può manipolare il codice html / javascript sulla pagina http per cambiare la destinazione della chiamata ajax sul proprio server. O ancora meglio, aggiungi una seconda chiamata.
Una volta che il browser visita il dominio www.example.com e scarica index.html nel browser, l'intero codice HTML viene memorizzato sul tuo computer. Poiché qualsiasi cosa memorizzata sul lato client può essere manomessa, ciò è considerato non sicuro e non è possibile fidarsi dei dati che il client restituisce dallo script presumibilmente www.example.com fornito all'utente.
Ciò significa che login.aspx deve trattare ogni bit di dati inviato come dati sporchi e pulirlo.
Cambiare dominio non fa molto, e il browser non si lamenterà del fatto che javascript stia attivando un modulo su un dominio diverso.
Leggi altre domande sui tag javascript ajax tls