使用被动混合内容的方式来跨越浏览器会阻断HTTPS上的非安全请求(HTTP)请求的安全策略抓包详解
/*通过传入loginId在token中附加loginId参数,方便后续读取指定缓存中的指定用户信息*/
GET /multitalk/takePhone.php?loginId=4edc153568311361687793 HTTP/1.1
Host: txl.cytxl.com.cn
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Accept: application/json, text/plain, */*
X-DevTools-Emulate-Network-Conditions-Client-Id: C8EFF1D4-1388-4532-914A-0CB01EF8606F
User-Agent: Mozilla/5.0 (Linux; U; Android 4.3; en-us; SM-N900T Build/JSS15J) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30
Content-Type: application/json;charset=utf-8
Referer: https://txl.cytxl.com.cn/html5/multi-party-call/index.html
Accept-Encoding: gzip,deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: PHPSESSID=qrdiaim3ql1s8m811tutf7k7d1
HTTP/1.1 200 OK
Date: Fri, 31 Aug 2018 02:38:41 GMT
Server: Apache
Content-Length: 373
Keep-Alive: timeout=30, max=97
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8
{"code":0,"data":{"resultcode":"000","url":"http:\/\/www.cmpassport.com\/openapi\/getMobileAllR?ver=1.0&msgId=d41d8cd98f00b204e9800998ecf8427e&appId=000085×tamp=20180831103841285&accessToken=2cb917bd01cef8704bb7c91df400273b&openType=0&message=&expandParams=multitalk%3D4edc153568311361687793&redirectUrl=https%3A%2F%2Ftxl.cytxl.com.cn%2Fapi%2FmobileR.php"},"msg":"ok"}
返回的url解码后为:
http:\/\/www.cmpassport.com\/openapi\/getMobileAllR?ver=1.0&msgId=d41d8cd98f00b204e9800998ecf8427e&appId=000085×tamp=20180831103841285&accessToken=2cb917bd01cef8704bb7c91df400273b&openType=0&message=&expandParams=multitalk=4edc153568311361687793&redirectUrl=https://txl.cytxl.com.cn/api/mobileR.php
/*https里通过加载静态资源方式发起http请求,只能get方式,且接收不到http请求返回*/
GET /openapi/getMobileAllR?ver=1.0&msgId=d41d8cd98f00b204e9800998ecf8427e&appId=000085×tamp=20180831103841285&accessToken=2cb917bd01cef8704bb7c91df400273b&openType=0&message=&expandParams=multitalk%3D4edc153568311361687793&redirectUrl=https%3A%2F%2Ftxl.cytxl.com.cn%2Fapi%2FmobileR.php HTTP/1.1
Host: www.cmpassport.com
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Accept: image/webp,*/*;q=0.8
X-DevTools-Emulate-Network-Conditions-Client-Id: C8EFF1D4-1388-4532-914A-0CB01EF8606F
User-Agent: Mozilla/5.0 (Linux; U; Android 4.3; en-us; SM-N900T Build/JSS15J) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
HTTP/1.1 302 Found
Server: nginx
Date: Fri, 31 Aug 2018 02:38:34 GMT
Content-Type: text/html;charset=UTF-8
Content-Length: 0
Connection: keep-alive
Cache-Control: private
Expires: Thu, 01 Jan 1970 08:00:00 CST
Access-Control-Allow-Headers: *
Access-Control-Allow-Origin: *
Content-Language: zh
Vary: Accept-Language
Location: https://txl.cytxl.com.cn/api/mobileR.php?token=4fc02d4f5a1dfa8b45537d9c3a1d74c9
/*通过加载静态资源方式发起的http请求,接收不到http返回值,通过redirectUrl回调地址临时缓存处理*/
GET /api/mobileR.php?token=4fc02d4f5a1dfa8b45537d9c3a1d74c9 HTTP/1.1
Host: txl.cytxl.com.cn
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Accept: image/webp,*/*;q=0.8
X-DevTools-Emulate-Network-Conditions-Client-Id: C8EFF1D4-1388-4532-914A-0CB01EF8606F
User-Agent: Mozilla/5.0 (Linux; U; Android 4.3; en-us; SM-N900T Build/JSS15J) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30
Accept-Encoding: gzip,deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: PHPSESSID=qrdiaim3ql1s8m811tutf7k7d1
HTTP/1.1 200 OK
Date: Fri, 31 Aug 2018 02:38:42 GMT
Server: Apache
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Content-Length: 100
Keep-Alive: timeout=30, max=96
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8
/*通过loginId读取缓存结果*/
GET /api/dfdh/mobileR.php?loginId=4edc153568311361687793 HTTP/1.1
Host: txl.cytxl.com.cn
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Accept: application/json, text/plain, */*
X-DevTools-Emulate-Network-Conditions-Client-Id: C8EFF1D4-1388-4532-914A-0CB01EF8606F
User-Agent: Mozilla/5.0 (Linux; U; Android 4.3; en-us; SM-N900T Build/JSS15J) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30
Content-Type: application/json;charset=utf-8
Referer: https://txl.cytxl.com.cn/html5/multi-party-call/index.html
Accept-Encoding: gzip,deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: PHPSESSID=qrdiaim3ql1s8m811tutf7k7d1
HTTP/1.1 200 OK
Date: Fri, 31 Aug 2018 02:38:42 GMT
Server: Apache
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate
Pragma: no-cache
Content-Length: 98
Keep-Alive: timeout=30, max=95
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8
{"code":0,"data":{"loginId":"4edc153568311361687793","mobileNumberMask":"139****2857"},"msg":"ok"}
使用被动混合内容的方式来跨越浏览器会阻断HTTPS上的非安全请求(HTTP)请求的安全策略抓包详解的更多相关文章
- HTTPS的页面发送不了HTTP请求?——关于混合内容
我们都知道HTTPS的页面是发送不了HTTP请求的,那么是什么原因导致HTTPS页面不能发送HTTP请求呢?如果有发送的需求,怎么样才能发送?最近刚好遇到了这个问题,而且搜了半天没搜到靠谱的答案,所以 ...
- 详解C#泛型(二) 获取C#中方法的执行时间及其代码注入 详解C#泛型(一) 详解C#委托和事件(二) 详解C#特性和反射(四) 记一次.net core调用SOAP接口遇到的问题 C# WebRequest.Create 锚点“#”字符问题 根据内容来产生一个二维码
详解C#泛型(二) 一.自定义泛型方法(Generic Method),将类型参数用作参数列表或返回值的类型: void MyFunc<T>() //声明具有一个类型参数的泛型方法 { ...
- HTTPS混合内容解析
什么是HTTPS混合内容 我们可能会有这样的经验,当我们通过HTTPS访问一个网站的时候,突然有提示:“本页面包含有不安全的内容”.这个时候会询问是否显示“不安全的内容”,这个时候,就是遇到了有混合内 ...
- mixed content 混合内容
什么是混合内容? 当用户访问使用HTTPS的页面时,他们与web服务器之间的连接是使用SSL加密的,从而保护连接不受嗅探器和中间人攻击. 如果HTTPS页面包括由普通明文HTTP连接加密的内容,那么连 ...
- 怎样启用SQL SERVER混合身份验证方式
转载:http://jingyan.baidu.com/article/380abd0aa8f2311d90192cd0.html 大家都知道sql server 有两种登录验证方式,即sql ser ...
- vue-learning:12-vue获取模板内容的方式
vue获取模板内容的方式 目录 outerHTML获取内容 template属性获取内容 ES6的字符串模板 <template>标签 <srcipt type="text ...
- CSS进阶内容—浮动和定位详解
CSS进阶内容-浮动和定位详解 我们在学习了CSS的基本知识和盒子之后,就该了解一下网页的整体构成了 当然如果没有学习之前的知识,可以到我的主页中查看之前的文章:秋落雨微凉 - 博客园 CSS的三种布 ...
- Linux 如何使用压缩与解压缩的方式将Windows下的zip压缩包上传到Linux系统
当我们无法使用xftp方式上传文件到Linux系统时,我们可以使用在Windows下压缩文件夹,然后到Linux系统下解压缩的方式,完成整个上传工作. 第一步:在Windows系统下,将整个文件夹压缩 ...
- 使用 /proc 文件系统来访问 linux操作系统 内核的内容 && 虚拟文件系统vfs及proc详解
http://blog.163.com/he_junwei/blog/static/19793764620152743325659/ http://www.01yun.com/other/201304 ...
随机推荐
- UIview的一些属性
一.UIView(视图\控件)1.在屏幕上能看得见.摸得着的东西,都是UIView对象2.任何UIView都可以充当其他UIView的容器3.关于UIView的一些疑问1> 谁来管理UIView ...
- nginx在使用proxy_pass的情况下开启error_page
error_page用于指定特定错误发生时要显示的url,但是如果请求经proxy_pass处理后,如何使error_page对upstream产生的错误进行处理呢? 方法很简单. 保持之前的erro ...
- Luogu 3690 Link Cut Tree
Luogu 3690 Link Cut Tree \(LCT\) 模板题.可以参考讲解和这份码风(个人认为)良好的代码. 注意用 \(set\) 来维护实际图中两点是否有直接连边,否则无脑 \(Lin ...
- Linux Mint17.1安装PHPStorm8.0.2
phpstorm是用JAVA开发的,所以在安装之前需要先安装jdk sudo apt-get install default-jdk 从官网上下载phpstorm 的linux版本 http://ww ...
- python(六):面型对象--类的特殊方法
一.跟实例创建和执行有关的 __new__.__init__.__call__. 类加括号调用了__init__方法来创建一个实例对象.这一过程分成了两步: 类调用__new__来创建实例对象,__n ...
- MySQL排序_20160926
在工作中对数据进行排序也是最常用的,比如根据用户的下单金额降序 或者对销售业绩进行降序排序 在考核员工KPI时候也经常用到 一.order by 函数 order by 函数默认根据后面字段升序,使 ...
- 用fiddler设置手机代理
做App测试的朋友可能因为环境的需要,要切换不同的测试环境,这时就需要在自己的电脑上配置好环境,然后在手机上设置代理,用WiFi连自己的电脑,这样一来,手机网络走的就是自己的电脑网络,也就是说,手机的 ...
- 【java基础】java中ArrayList,LinkedList
[一]ArrayList 一ArrayList的内部结构 (1)ArrayList内部维护的是一个Object数组 (2)ArrayList数组扩容后数组的长度的公式:旧的数组长度+(旧数组长度> ...
- 动态添加 items to PopupMenu
引用自http://stackoverflow.com/questions/10175140/adding-items-to-popupmenu DevExpress.XtraBars.BarMana ...
- Helm Charts
Use this repository to submit official Charts for Kubernetes Helm. Charts are curated application de ...