https 下如何保护服务端返回的敏感数据

那前端的私钥是怎么来的

单向认证，单向的是认证，只认服务端不认客户端，不是只加密请求不加密响应啊…

参考 TLS

中间人不能获取服务器的返回数据吧？

@chendy 返回的数据是用私钥加密的 ，中间人也有可能获取到服务器公钥进行解密吧，虽然无法篡改但也能看到

@voidmnwzp 实际上，是不行的，你可以了解一下 DH 算法

HTTPS 后续是用的对称加密，不存在你说的这种问题，除非客户端本身被入侵了（或者安装了某些软件）

传输的内容的用客户端和服务端两端协商的对称密钥（比如 AES ）加密的。

用 probuffer 压下，起码不是明文传输了。

建议了解一下基础的 HTTPS 加密流程吧，证书不用来加解密用户数据。

不会被中间人获取的。。除非用户终端信任了中间人的证书

看来是我搞错了 这贴可以沉了

1. 中间人拿到的加密数据 无法用服务器证书公钥破解，而是用事先双方交换的对称算法秘钥（先了解 HTTPS 的传输过程）；
2. 中间人想要看到明文数据，只有从连接建立开始的时候就介入了，拿到了对称秘钥，才能解密数据。怎么介入？搜一下抓包软件（如 fiddler 、charles ）的原理