HTTPS标头是否被encryption?

当通过HTTPS发送数据时,我知道内容是encryption的,但是我听到关于头文件是否被encryption或头文件被encryption多less的混合答案。

多less个HTTPS标头encryption?

包括GET / POST请求URL,Cookies等

整批都encryption – 所有的标题。 这就是为什么虚拟主机上的SSL不能很好地工作 – 你需要一个专用的IP地址,因为主机头是encryption的。

服务器名称标识(SNI)标准意味着如果您使用TLS,则可能不会对主机名进行encryption。 另外,无论您是否使用SNI,TCP和IP头都不会被encryption。 (如果他们是,你的数据包将不可路由)。

标题完全encryption。 通过networking“清除”的唯一信息与SSL设置和D / H密钥交换有关。 这种交换是经过精心devise的,不会为窃听者提供任何有用的信息,一旦发生,所有的数据都被encryption。

HTTP版本1.1增加了一个特殊的HTTP方法,CONNECT – 旨在创buildSSL隧道,包括必要的协议握手和encryption设置。
之后的常规请求都发送包装在SSL隧道,头和身体包容。

使用SSL时,encryption处于传输级别,因此在发送请求之前进行。

所以请求中的所有内容都被encryption了。

老问题的新答案,对不起。 我以为我会添加我的$ .02

OP询问头是否被encryption。

他们是:在途中。

它们不是:不在途中。

所以,浏览器的URL(在某些情况下,标题)可以显示查询string(通常包含最敏感的细节)和标题中的一些细节; 浏览器知道一些头信息(内容types,unicode等); 浏览器历史logging,密码pipe理,collections夹/书签和caching页面都将包含查询string。 远程端的服务器日志也可以包含查询string以及一些内容细节。

此外,URL并不总是安全的:域,协议和端口是可见的,否则路由器不知道在哪里发送请求,防火墙不知道如何过滤协议,端口或地址。

另外,如果你有一个HTTP代理,代理服务器知道地址,通常他们不知道完整的查询string。

所以如果数据正在移动,它通常是受保护的。 如果不在传输中,则不encryption。

不要挑剔,但最后的数据也被解密,并可以被parsing,阅读,保存,转发,或随意丢弃。 而且,任何一端的恶意软件都可以捕获进入(或退出)SSL协议的数据快照 – 例如HTTPS中的一个页面内的(坏)Javascript,它可以偷偷地对logging网站进行http(或https)调用(因为访问本地硬盘通常是受限制的而且没有用处)。

此外,Cookie也不会在HTTPS协议下encryption。 希望将敏感数据存储在Cookie(或其他任何地方)的开发人员需要使用自己的encryption机制。

至于caching,大多数现代浏览器不会cachingHTTPS页面,但是这个事实并不是由HTTPS协议定义的,它完全依赖于浏览器的开发者,以确保不caching通过HTTPS接收的页面。

所以如果你担心数据包嗅探,你可能没问题。 但是,如果您担心恶意软件或通过您的历史logging,书签,Cookie或caching中的某个人,您还没有脱身。

HTTPS(基于SSL的HTTP)通过SSL tunel发送所有HTTP内容,因此HTTP内容和标头也被encryption。

是的,头被encryption。 这是写在这里 。

HTTPS消息中的所有内容都已encryption,包括标头和请求/响应加载。

URL也是encryption的,你真的只有IP,端口,如果SNI是未encryption的主机名。