没有 SSL/TLS(即未启用 HTTPS)本身不是一种“攻击”,但它会显著扩大攻击面,使多种网络层和应用层攻击成为可能且成本极低。
HTTP 明文传输意味着所有通信内容(包括 Cookie、表单提交、API 请求头/体、重定向 URL)均可被中间人(MITM)直接窃听、篡改或注入。现代浏览器已将 HTTP 标记为“不安全”(Not Secure),Chrome、Firefox 等主流浏览器在地址栏明确显示警告标识;部分功能(如地理位置、Web Push、Service Worker、自动填充密码)在非 HTTPS 下已被禁用(参见 W3C Secure Contexts 规范)。
典型可利用场景包括:公共 Wi-Fi 下的会话劫持(如窃取登录态)、DNS 污染后强制降级至 HTTP、ISP 或路由器固件注入广告脚本、恶意代理篡改响应内容(如替换 JS 资源实施挖矿)。2016 年的 SSL/TLS 工具 分析显示,全球约 37% 的 HTTP 页面存在可被自动化识别的敏感字段(如 password=、token=),极易被被动嗅探捕获。
加密您的网站,赢得客户信任!
2004-2026 ©北京传诚信 版权所有 | TopSSL提供免费 SSL 证书与企业级付费证书申请,快速实现 HTTPS 加密 北京市朝阳区鹏景阁大厦16层
京公网安备11010502031690号
网站经营企业工商营业执照
