你的客戶端和服務(wù)器建立的是一個受信任的鏈接����,在建立TCP鏈接后,客戶端和服務(wù)端就會初始化SSL層�,對加密參數(shù)進行溝通,并交換密鑰�。之后雙方可以進行通行了。所以https的請求�����,雙方的客戶端和服務(wù)端是知道密鑰的����,所以可以對內(nèi)容進行加解密,但是傳輸過程中����,第三方不知道密鑰����,所以截取到了也解密不了����。
但是但是但是��,如果你曾經(jīng)用fiddler或者charles調(diào)試���,替換過線上代碼����,那你就會了解到一個叫中間人攻擊的東西��,這個技術(shù)可以偽裝成客戶端和服務(wù)器進行通信���,以盜取通信的內(nèi)容(具體不展開了��,搜索下��,圖文并茂的文章很多的)�����。比如你用了一個不安全的Wi-Fi什么的�����,就會有這個風(fēng)險��。所以����,密碼之類的,尤其設(shè)計到錢的���,還是另外加密下吧���。
