Это абсолютно необходимо, чтобы страница с формой И отправляемая страница - были HTTPS. Если страница с формой не имеет HTTPS, вы не можете гарантировать, что эта форма отправляет на . На самом деле он может не отправляться на страницу HTTPS (ожидаете ли вы, что ваши посетители будут просматривать исходный код) или что-то вставило вредоносный JavaScript-код для перенаправления формы куда-либо еще. Однако если форма также HTTPS, то вы знаете, что она не была подделана.
Безопасность - это больше, чем просто отметка «У меня есть шифрование», это целый процесс.
Но вот важная часть (и почему единственным правильным ответом на этот вопрос является «и ОТ, и ДО должны быть HTTPS), которую большинство людей забывают: HTTPS (и SSL / TLS в целом) - это не просто шифрование, то есть только часть. Это о TRUST :
- Вы знаете , где ваши данные отправляются на . Это включает не только имя хоста сервера, но также идентификатор того, кто это имя хоста представляет
- Вы знаете, что по пути ничего не было подделано
Без HTTPS на странице FROM, № 2 выше не может быть гарантирован (страница FROM может быть подделана), что означает, что # 1 не может быть гарантировано. В конце концов, если ваша форма каким-то образом была подделана, как вы узнаете, что эта форма будет делать с вашими данными в конце?