[HTTPS] Validation d'un formulaire HTML [Résolu]

verbose · 23/06/2011, 19h49

Le titre n'est pas très clair car mon problème est un peu particulier.

Je développe un site avec Google App Engine (GAE). Cette plateforme supporte bien SSL, mais, sans doute pour des raisons de sécurité, oblige à ce que les requêtes HTTPS soient faîtes dans l'espace de nom de la plateforme GAE (appspot.com).

Pour être concret, chaque application possède un espace de nom dédié sur GAE. Par exemple myapp.appspot.com. Bien sûr, il est possible d'associer un nom de domaine différent à cet espace de nom. Par exemple, je peux rediriger les requêtes provenant de www.myapp.com vers myapp.appspot.com.

Tout marche très bien avec le protocole HTTP, mais avec HTTPS, ce n'est pas possible. La requête doit obligatoirement être faîte dans l'espace de nom appspot.com. C'est un peu gênant car du coup, l'utilisateur peut se méfier en voyant qu'il est redirigé vers une URL différente et qu'il ne connaît pas, alors que le but du protocole HTTPS est justement d'apporter plus de sécurité.

Maintenant que je vous ai exposé le contexte, voici la solution que je voudrais adopter.

Je souhaiterais afficher le formulaire de saisie dans l'espace de nom correspondant à mon nom de domaine, pour que l'utilisateur ne soit pas dérouté. Puis, lors de la validation du formulaire, je modifie l'attribut "action" du formulaire avec une fonction javascript pour faire pointer mon formulaire sur l'espace de nom appspot.com. Et je valide le formulaire.

Ma question : je voudrais savoir si, bien que le formulaire ait été envoyé par le serveur sur HTTP, est-ce que je peux valider ce formulaire sur HTTPS, de sorte que les données envoyées par le client soient cryptées.

Autrement dit, l'authentification SSL commence-t-elle à l'envoie du formulaire vierge par le serveur, ou au moment de la validation du formulaire par le client ?

Merci de vos réponses, en espérant avoir été clair.

verbose · 25/06/2011, 19h38

Après avoir fais quelques recherches sur le net, j'ai confirmation que les données du formulaire sont bien cryptées lorsqu'on fait pointer l'action vers une URL en HTTPS, même si le formulaire lui-même est affiché sur HTTP.

b.avet · 25/07/2011, 12h23

Mais les données transmises jusqu'à la page HTTPS sont en clair non ?

tho.feron · 25/07/2011, 15h25

Bonjour,

Non les données ne sont pas transmises en clair jusqu'à la page en HTTPS. Puisque le formulaire "pointe" vers une URL en https, la requête est cryptée.

Quand on soumet un formulaire, on fait une requête POST à l'adresse spécifiée dans l'attribut action, les données du formulaire sont dans le corps de la requête (après les en-têtes). Comme l'adresse est en HTTPS, la requête utilisera SSL/TSL.

Cordialement,
Thomas Feron de LF Création

verbose · 04/08/2011, 14h17

Citation:

Envoyé par tho.feron

Bonjour,

Non les données ne sont pas transmises en clair jusqu'à la page en HTTPS. Puisque le formulaire "pointe" vers une URL en https, la requête est cryptée.

Quand on soumet un formulaire, on fait une requête POST à l'adresse spécifiée dans l'attribut action, les données du formulaire sont dans le corps de la requête (après les en-têtes). Comme l'adresse est en HTTPS, la requête utilisera SSL/TSL.

Cordialement,
Thomas Feron de LF Création

Merci pour ta réponse. Cela confirme ce que je pensais

23/06/2011, 19h49	#1
verbose Membre expérimenté Inscription : juillet 2007 Messages : 691 Détails du profil Informations forums : Inscription : juillet 2007 Messages : 691 Points : 502 Points : 502	[HTTPS] Validation d'un formulaire HTML Le titre n'est pas très clair car mon problème est un peu particulier. Je développe un site avec Google App Engine (GAE). Cette plateforme supporte bien SSL, mais, sans doute pour des raisons de sécurité, oblige à ce que les requêtes HTTPS soient faîtes dans l'espace de nom de la plateforme GAE (appspot.com). Pour être concret, chaque application possède un espace de nom dédié sur GAE. Par exemple myapp.appspot.com. Bien sûr, il est possible d'associer un nom de domaine différent à cet espace de nom. Par exemple, je peux rediriger les requêtes provenant de www.myapp.com vers myapp.appspot.com. Tout marche très bien avec le protocole HTTP, mais avec HTTPS, ce n'est pas possible. La requête doit obligatoirement être faîte dans l'espace de nom appspot.com. C'est un peu gênant car du coup, l'utilisateur peut se méfier en voyant qu'il est redirigé vers une URL différente et qu'il ne connaît pas, alors que le but du protocole HTTPS est justement d'apporter plus de sécurité. Maintenant que je vous ai exposé le contexte, voici la solution que je voudrais adopter. Je souhaiterais afficher le formulaire de saisie dans l'espace de nom correspondant à mon nom de domaine, pour que l'utilisateur ne soit pas dérouté. Puis, lors de la validation du formulaire, je modifie l'attribut "action" du formulaire avec une fonction javascript pour faire pointer mon formulaire sur l'espace de nom appspot.com. Et je valide le formulaire. Ma question : je voudrais savoir si, bien que le formulaire ait été envoyé par le serveur sur HTTP, est-ce que je peux valider ce formulaire sur HTTPS, de sorte que les données envoyées par le client soient cryptées. Autrement dit, l'authentification SSL commence-t-elle à l'envoie du formulaire vierge par le serveur, ou au moment de la validation du formulaire par le client ? Merci de vos réponses, en espérant avoir été clair.
	00

25/06/2011, 19h38	#2
verbose Membre expérimenté Inscription : juillet 2007 Messages : 691 Détails du profil Informations forums : Inscription : juillet 2007 Messages : 691 Points : 502 Points : 502	Après avoir fais quelques recherches sur le net, j'ai confirmation que les données du formulaire sont bien cryptées lorsqu'on fait pointer l'action vers une URL en HTTPS, même si le formulaire lui-même est affiché sur HTTP.
	00

25/07/2011, 12h23	#3
b.avet Invité de passage Inscription : mars 2005 Messages : 3 Détails du profil Informations forums : Inscription : mars 2005 Messages : 3 Points : 1 Points : 1	Mais les données transmises jusqu'à la page HTTPS sont en clair non ?
	00

25/07/2011, 15h25	#4
tho.feron Membre actif Thomas Feron Chef d'entreprise Inscription : novembre 2010 Messages : 94 Détails du profil Informations personnelles : Nom : Thomas Feron Localisation : Belgique Informations professionnelles : Activité : Chef d'entreprise Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : novembre 2010 Messages : 94 Points : 164 Points : 164	Bonjour, Non les données ne sont pas transmises en clair jusqu'à la page en HTTPS. Puisque le formulaire "pointe" vers une URL en https, la requête est cryptée. Quand on soumet un formulaire, on fait une requête POST à l'adresse spécifiée dans l'attribut action, les données du formulaire sont dans le corps de la requête (après les en-têtes). Comme l'adresse est en HTTPS, la requête utilisera SSL/TSL. Cordialement, Thomas Feron de LF Création
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email