https 只保护传输不被监听、窃取、篡改。 也就是客户端和服务器之间不会蹲有一个未知的“中间人”。 但客户端本身就是一个攻击面。如果客户端不安全,相当于一个逆向工程师蹲在浏览器里,所有输入、输出、渲染过程、前端交互逻辑、渲染数据都失密。 好在以上大部分都不怎么值钱,值钱的都服务端计算/渲染了。 唯一值钱的是当前账号个人数据,系统风险可控,法律风险更好甩,反倒是防护成本巨高效果不好,就这样吧。
@Puteulanus 应该是 SSR ,之前只尝试打开一些网页,看不到正常出入参的接口感觉很奇怪。 现在重新去试了一些新增更新操作,发现 GET 请求基本都是返回页面,然后 POST 请求能够正常看到入参和出参的。
https 可以防止中间人获取请求数据内容来进行中间人攻击。 对参数进行加密,目的是为了防止参数篡改重放, 就是攻击者修改原来的参数再次请求。 这两个安全措施的目的并不一样啊。 如果 API 加了安全令牌,时间戳等防重放的安全措施,则就没必要再对参数整体加密了。