È possibile rilevare un attacco striscia SSL controllando se la pagina consegnata è HTTPS o HTTP utilizzando JavaScript? Suppongo che la pagina di risposta sia la pagina HTTPS anziché HTTP?
È possibile rilevare un attacco striscia SSL controllando se la pagina consegnata è HTTPS o HTTP utilizzando JavaScript? Suppongo che la pagina di risposta sia la pagina HTTPS anziché HTTP?
Potresti voler impostare il tuo server web su HSTS (Strict Transport Security) che utilizza un'intestazione di risposta speciale per dire al browser di accettare solo il traffico https. Full Disclosure: Come ci si potrebbe aspettare, supporto IE < 11 Credo sia limitato. Se devi usare qualcosa sul lato client per verificare la presenza di https, penso che potresti usare window.location.protocol.
Potresti provare quanto segue:
Puoi usare window.location.protocol
per verificare quale protocollo è in uso. Ma l'autore dell'attacco può consegnare la pagina senza questo tag, quindi è necessario verificare la presenza di questo script nella pagina. Personalmente, userei HSTS per eliminare questo tipo di attacco, non controllando il protocollo.
Leggi altre domande sui tag javascript tls sslstrip