gpt4 book ai didi

javascript - javascripts 访问密码字段值是否被视为安全风险?

转载 作者:数据小太阳 更新时间:2023-10-29 05:41:34 25 4
gpt4 key购买 nike

如果安全正确地存储密码是一种良好的风格和安全性,那么要求用户输入密码的网页不应该也是如此吗?

考虑这个例子

<script>

function copy() {
var text = document.getElementsById('text');
var pass = document.getElementsById('pass');

text.value = pass.value;
}

</script>

<input type=text id=text>
<input type=password id=pass>

<button onclick="copy();">copy</button>

在密码框中输入一些内容,然后单击复制按钮,瞧,它就暴露在世人面前了。但是,如果您从密码框中复制和粘贴,那么您将得到无用的数据。

考虑一下您的登录页面上包含的不受您控制的 javascript 片段的数量(分析、页面流跟踪器、云中的托管脚本)。对于网络浏览器来说,阻止这种对密码字段的编程访问并提供它自己的密码验证 API 是否有意义?

最佳答案

此漏洞是[传统实现]应用程序级身份验证的固有漏洞,因此必须收集登录名/密码对并通过网络传输。 (网络浏览器并不是这个 secret 受到威胁的唯一地方)。

javascript 主机和/或 http 级别的一些安全措施已经到位,以防止一些您预见的危险,但无论如何始终存在代码注入(inject)的风险...

底线是,如果需要有效的安全性,您可以考虑其他身份验证方法,例如操作系统集成安全性、其他形式的基于挑战的安全性,以及非基于密码的方法(例如:显示一系列照片的类似验证码的挑战,其中一些是由被认证的人预先学习的。)

关于javascript - javascripts 访问密码字段值是否被视为安全风险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1631134/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com