问登录页面完全需要安全域(HTTPS)吗？

EN

如果安全性很重要:是的，登录页面必须是https，它发布到的页面也必须是https。根本没有其他方法。

如果你访问一个不是https的页面，你绝对不能相信从该页面提交的任何东西。由于连接不受保护，因此很容易被篡改(可能通过将其提交到非https页面，或者可能提交到完全不同的域，直到为时已晚才会知道)。然而，如果你访问一个https页面，你可以信任它。你知道这个页面来自哪里，并且它没有被篡改过。当然，您必须提交到https页面，因为您希望对数据进行加密(如果浏览器试图将表单从https页面提交到非https页面，应该会发出警告)。

很抱歉发了这么晚的帖子，但我认为上面没有人提到facebook和twitter如何做到这一点的关键要素。主要部分是，他们的非HTTPS登录表单通过HTTPS发布到一个绝对URL。

看一下这个动作：

// facebook
<form method="POST" action="https://login.facebook.com/login.php?login_attempt=1" id="login_form">

// twitter
<form method="post" id="signin" action="https://twitter.com/sessions">

在这种情况下，表单的"action“被设置为使用https，并且ssl握手在发送任何数据之前发生，因此连接是安全的。(原始表单是否使用https显示并不重要)。但是，如果表单操作使用相对路径，那么它将默认使用用于显示表单的协议。底线是，如果您想要在发送凭据之前建立SSL会话，则必须使用绝对URL。

我可能会被否决，但答案是“完全必要的”，正确的答案确实应该是否定的。在大多数情况下，这真的无关紧要。甚至hotmail.com和其他大型网站也有未加密的登录过程，有些需要你点击一个链接才能转到https页面。

这真的取决于你保护的是什么。HIPPA数据，财务信息是完全必要的。标准论坛或其他网站，都无关紧要。

执行中间人攻击也不是一件微不足道的事情，这实际上更多的是对敌对网络(如WIFI/学校网络等)的关注，而不是互联网本身。在不损害根DNS服务器的情况下，在web本身上执行实时的中间人攻击几乎是不可能的。跨站脚本更像是一种真正的攻击载体，而不像中间人，它只有一个真正的目的，就是试图对大型银行执行攻击。