当通过HTTPS发送的数据，我所知道的内容是加密的，但是我听到头是否加密，还是怎么着标题的多是加密的混合答案。

如何HTTPS标头的多少是加密？

包括GET / POST请求的URL，饼干等。

整幅加密^† -所有的头。 这就是为什么在虚拟主机SSL不工作也很好 - 你需要一个专用的IP地址，因为主机头是加密的。

^†服务器名称标识（SNI）标准意味着，如果你使用TLS主机名不被加密。 此外，您是否使用SNI与否，TCP和IP报头从不加密。 （如果他们成功了，你的数据包不会路由）。

标题是完全加密。 去在“在明确”网络的唯一信息是相关的SSL设置和d / H密钥交换。 这种交换是经过精心设计不会屈服于窃听任何有用的信息，而且一旦发生，所有的数据都加密。

HTTP版本1.1添加一个特殊的HTTP方法，CONNECT - 旨在创建SSL隧道，包括必要的协议握手和加密设置。
常规请求之后所有被发送包裹在SSL隧道，头和身体的包容性。

新回答古老的问题，对不起。 我想我会添加我的$ .02

在OP问，如果头被加密。

它们是：在运输途中。

他们不是：在不中转。

所以，你的浏览器的URL（和标题，在某些情况下）可显示的查询字符串（通常包含最敏感的信息）和一些细节的头; 浏览器知道一些首标信息（内容类型，unicode的，等）; 和浏览器历史记录，密码管理，收藏夹/书签和缓存的页面都将包含查询字符串。 在远端服务器的日志还可以包含查询字符串，以及一些细节内容。

此外，该URL并不总是安全的：域，协议和端口是可见的 - 否则路由器不知道从哪里发送您的请求。

此外，如果你有一个HTTP代理，代理服务器知道地址，通常他们不知道完整的查询字符串。

因此，如果数据被移动时，它的一般保护。 如果不是在运输过程中，它是不加密。

不尼特挑，但最后的数据也被解密，并且可以对其进行解析，读取，保存，转发或随意丢弃。 而且，恶意软件在任一端可以采取数据进入（或退出）的SSL协议的快照 - 如（坏）JavaScript的网页内内HTTPS可以秘密地进行HTTP（或HTTPS）调用日志网站（因为访问本地硬盘往往受到限制，而不是有用）。

此外，Cookie不会HTTPS协议下加密，无论是。 想在Cookie中存储（或其他为此事的任何地方）的敏感数据开发人员需要使用自己的加密机制。

至于高速缓存，最现代的浏览器将不缓存HTTPS页面，但事实不是由HTTPS协议的定义，它是完全依赖于浏览器的开发，以确保不缓存通过HTTPS接收页面。

所以，如果你担心数据包嗅探，你可能没问题。 但是，如果你担心恶意软件或通过人的历史记录，书签，Cookie或缓存戳，你是不是出来的水呢。

使用SSL加密是在传输层，所以它发生时发送的请求之前。

因此，在要求所有被加密。

HTTPS（SSL上的HTTP）发送通过SSL TUNEL所有HTTP内容，所以HTTP内容和报头被加密。

是的，头被加密。 这是写在这里 。

在HTTPS消息一切是加密的，其中包括标题，和请求/响应负载。

网址也被加密，你真的只拥有IP，端口，如果SNI，未加密的主机名。