Использует ли запрос XMLHTTP POST к адресу HTTPS какое-либо шифрование?

Если мы используем функцию HTTP-запроса javascript:

var request = new XMLHttpRequest();

на https-адрес, будет ли он использовать какой-либо тип шифрования или MITM сможет видеть все данные, которые мы отправляем?

Пример:

function createAuthToken(baseRestURL, callback) {
    var APIPath = "account/api/session";
    var CORSPath = "https://cors-anywhere.herokuapp.com/";
    var completeRestURL = CORSPath + baseRestURL + APIPath;
    console.log("REST API URL: " + completeRestURL);

    var method = "POST";
    var postData = "{\"tokenId\": \"" + document.getElementById('api_key').value + "\",\"secret\": \"" + document.getElementById('secret').value + "\",\"loginMode\": 1,\"applicationType\": 35}";
    var async = true;
    var request = new XMLHttpRequest();
    request.onreadystatechange = function() {
        if (request.readyState == 4 && (request.status == 200 || request.status == 201)) {
            console.log("ONLOAD");
            var status = request.status; // HTTP response status, e.g., 200 for "200 OK"
            console.log(status);
            var response = JSON.parse(request.responseText);
            console.log(response.session_token);       
            return callback(response.session_token);

        }

    }
    request.open(method, completRestURL, async);
    request.setRequestHeader("Content-Type", "application/json");
    request.setRequestHeader("Accept", "application/json");
    request.send(postData);

Последующий вопрос: если нет, есть ли безопасный способ включить шифрование в наш клиентский javascript? Я думал о том, чтобы использовать открытый ключ веб-сайта для шифрования запроса перед его отправкой на сервер, но я не могу найти никого, кто бы еще пытался шифрование на стороне клиента.

Грубый пример:

var CryptoJS = require("crypto-js");
var stackOverflowKey = "30 82 01 0a 02 82 01..."
var postData = "{\"tokenId\": \"" + document.getElementById('api_key').value + "\",\"secret\": \"" + document.getElementById('secret').value + "\",\"loginMode\": 1,\"applicationType\": 35}";
var encryptedPostData = cryptoJS.hmacSHA256(postData, stackOverflowKey)

//let's skip the callback and request headers as they are the same as above

var request = new XMLHttpRequest();
request.open();
request.send(encryptedPostData);

Я не изучал информатику и ничего не нашел в Интернете по этому поводу. Какие общепринятые способы сделать это?