一些重要系统的 http 接口，为什么没有前端参数加密呢？

右键检查

前段再怎么加密代码还不是被看得清清楚楚的。

可以，但没必要。
增加那点开发成本和巨大的收益比起来，根本没有意义。

你都说了前端加密了。前端的代码都在浏览器，加密不加密有什么区别吗？都是用户控制的设备和环境。

@drlalll 能看到也是一些长长的字符啊，这样不可以防止一些初级用户模拟 post ?

@Vegetable 这样不可以防止一些初级用户模拟 post?

@msg7086 看我上面说的

可以，但没必要
后端本来服务器资源就不太够，还要浪费去没什么用的解密

@KyonLi @drlalll @Vegetable @msg7086
举个我自身的例子，我本身想着登录一个网站，预约个号，抓包发现是加密的，就把我挡住了，加密的，我也不知道它里边究竟是什么内容啊

我的网站的接口就是加密了的 http://xfisher.com

@css3 做外挂的是初级用户吗？
而且比起模拟 POST，更方便的就是开个什么键盘模拟直接在浏览器上点点划划……

说来以前我要从 AWS 的控制面板上下载每个月的账单，好几年的份却没有批量下载功能。于是搞了个 AutoIt 下来写了个脚本，浏览器里点击每个月的然后弹出框里点保存，然后去吃了个午饭回来就全下好了。
你说我去模拟 POST 干啥。

前端很有必要加密，不加密的都是懒而已

@msg7086 比如手抓包到接口，写脚本批量（或者自动）干啥活的，未加密的，初级程序员，都能搞的定吧

@gitstash 终于看到一个同意加密的了😁

@msg7086 能爬虫，不一定看得懂前端加密代码吧？加了密，至少可以防止初级人员模拟 post 吧

@css3 手抓包简单还是直接弄个无头浏览器简单呢还是写个浏览器插件直接往网页上填数据简单呢。
当然你要说初级程序员等于不会用更方便的方法只会用笨办法的话，倒也是有点道理的。
等他们成长为资深程序员了就不怕加密了。

没必要，防重放攻击只要用一个短效 token 就行了

或者用 protobuf 这种非文本形式的协议

没有必要。因为阻止初级用户并没有意义。

现在 12306 还有几个人是自己写的，都是用别人写好现成的。

而这些人都不是初级用户。还耗费了服务器资源。

你浏览器能发起的请求 任何人都能模拟。。就看成本了。而且不用加密而用其他手段来限制你的方法很多。。

加解密是需要额外性能的，真当初级用户破不了这种小把戏啊。
还有，你用啥加密，RSA 公钥？

做外挂的哪是初级用户。。。

你辛辛苦苦做了前段加密，人工成本先不说，让用户浏览器多了很多没必要的计算量，这都是降低用户体验的啊。还有服务器加解密，真当服务器是土里长的土豆？

关键是它真的不管用。。。管用的就算是开销大也得上，比如 HTTPS。

只要是浏览里人能操作的（除验证码一类的），理论上都可以爬虫都可以模仿