关于Web服务：REST请求标头是否已通过SSL加密？

我正在开发将通过休息进行通信的客户端/服务器应用程序。 一些自定义请求数据将存储在请求的标头中。 发送请求的服务器和接收服务器都具有SSL证书-标头会被加密还是仅被加密？

---

SSL会加密从客户端到服务器再到服务器的整个通信路径，因此可以-头将被加密。

顺便说一句，如果您开发网络应用程序并关心数据安全性，那么您至少应该读一本书，如Niels Ferguson和Bruce Schneier撰写的《实用密码学》，而进一步阅读更着重于Web应用程序安全性的书可能会是一件好事。理念。如果我可以观察一下，请(我不是说作为个人批评)，您的问题表明根本缺乏对非常基本的Web安全技术的理解，这永远不是一个好兆头。

同样，确认假定已加密的数据确实已加密绝对不是一个坏主意。您可以使用网络分析仪来监视网络上的流量，并注意任何明文发送的敏感内容。我以前曾使用Wireshark进行此操作-有时结果可能令人惊讶。

---

只要您在SSL隧道中进行通信，服务器和客户端之间发送的所有内容都会被加密。加密在发送或接收任何数据之前完成。

---

标头和内容均已加密。

---

您似乎认为REST是一种独特的协议。

REST不是协议。这是基于HTTP的应用程序的设计风格。

因此，您正在编写一个HTTP应用程序。标头是否已加密？是的，如果您使用的是HTTPS(基于SSL的HTTP)协议而不是纯HTTP。

双方都有证书与您的问题没有直接关系。 SSL证书用于身份验证。它们有助于检测中间人攻击，例如使用DNS缓存中毒可能发生的攻击。

---

仅凭证书是不够的，您必须配置Web服务器以加密该域或虚拟主机的连接(即使用证书)。另外，我认为您只需要一个证书，对请求的响应仍将被加密。

是的，HTTP标头和数据都被加密。

---

其他答案是正确的，即使用SSL时，标头确实与主体一起被加密。但是请记住，可能包含查询参数的URL永远不会被加密。因此，请注意不要在URL查询参数中放置任何敏感信息。

更新：如下@blowdart指出的那样，这是错误的。请参阅下面的评论。

---

SSL ..或更确切地说，HTTPS(基于SSL的HTTP)通过SSL发送所有HTTP内容，并且由于HTTP内容和标头实际上是同一件事，因此这意味着标头也已加密。
看到GET和POST数据是通过HTTP标头发送的，那么这才有意义，然后在安全发送数据时，您不只是希望对响应代码或内容进行加密。

---

并非所有内容都被加密：请求查询字符串未加密。相信我，我已经看到过这样的要求：

https://mydomain.com/authenticate?user=username&password=MyStrongPasswordSentInTheClear

请不要在查询字符串中放入敏感数据作为参数。

---