我們知道，在一些主流的瀏覽器中按F12，就會拉出一個檢視web訪問詳細資訊的視窗，在firefox中叫firebug，在chrome或者IE中，則叫developer tools，他們功能都大同小異，當然，比較重要的自然是檢視http request與response， 幸運的是，這三個工具都把其放在一個叫Network的tab下面，雖然顯示格式略有不同，但基本資訊都是一樣的。

當我們通過一個form提交資訊的時候，如果是GET方式，form中的資訊會以引數的形式附加在URL後面；如果是POST的方式，則包在request的body中，但不論是那種方式，form中的資訊，都會在http request中，而且可以用上面提到的工具檢視到：如果這個form恰好是個登陸框，或者是支付框，那麼你的使用者名稱與密碼自然也會出現在request中。

就此，我針對三類網站做了實驗：

tbUserName:test
tbPassword:test
btnLogin:登 錄
txtReturnUrl:http://home.cnblogs.com/

（原來的douban的例子是錯的，其登入頁面是https的）

雖然這兩個網站使用了https加密，但我們捕捉到的request，還是包含了密碼明文：

Form Data: authenticity_token:9fsgNlzbnOD.....=
login:test
password:test
commit:Sign in

原因在與https（ssl）的加密是發生在Application layer與Transportation layer之間，所以，在傳輸層看到的資料才是經過加密的，而我們捕捉到的http request的，自然是應用層的，是還沒經過加密的資料。

支付寶自然是https的，但是他的同時也增加了安全控制元件來保護密碼， 以前認為這個只是用來防鍵盤監聽的，其實，看下面http request截獲的密碼：這個安全控制元件把給request的密碼也先加了密，緊接著https再加次密，果然是和錢打交道的，安全級別高多了:)

Form Data: logonId:[email protected] password:EgUw11BHmg7obmQNCckbCd1b ekN5Jv7 Fw41MXVMicEVsF/ehu9hhwB6V8eBGfQvWA8IqHEGClCJ1C97qg5Rp1zQSHLAf1DkgR97b99VRJ3LRjLKywAaWgs1gjW2AS9S49rDw 5ERUh3vK021/I9DiubHKZS4NUzdhfb6Hz8 iWyh3lWBO/3rw9ehtug/1dQJ9oje2CUpM0cR9DPjiLikOIZ0JSr/yCCz68VzfHmgdE8Rr 4yqO6titkKGh0dYek0hCck6yQ2d7XAkd/3U1YA2B4EQ47qKVNpBdienXRfrOn Egu7JBoSfsqcnvAosvRC 94diCJ Grz7hW2GJjlg==