gpt4 book ai didi

javascript - 如何在没有 javascript 的情况下对 Web 表单中的密码进行编码?

转载 作者:数据小太阳 更新时间:2023-10-29 05:56:24 25 4
gpt4 key购买 nike

当然,这并不是说我无法访问 javascript。在我的大多数 CS Web 开发类(class)中,我们都学习了一些关于服务器端验证的知识,然后一旦引入了 javascript,服务器端验证就被抛到了窗外。

我选择不仅仅依赖 javascript,因为客户端从来都不是安全的地方。我已经养成了为这些事情编写客户端和服务器端代码的习惯。但是,对于我正在编写的具有可选 AJAX 的 Web 应用程序,如果有人关闭了 javascript,我不希望通过网络发送明文密码。

我意识到我可能会问一个 catch-22 的情况,所以让我问这个问题:当我们所能依赖的只是服务器端脚本。在登录页面的第一个请求中,有没有办法让浏览器加密数据字段?

最佳答案

SSL 解决了这个问题。作为记录,密码永远不应该被“加密”或“编码”,这使用了一种“解码”或“解密”的方法,如果CWE-257,这显然是违规的。 .密码必须经过哈希处理,SHA-256 是一个不错的选择,但这并不是为了传输,而是为了存储。当您传输 secret 时,可能会出现一长串错误,SSL 是迄今为止解决这些问题的最佳选择。

如果攻击者可以嗅探流量,那么他们将能够看到 session ID 并立即使用它,因此这是一个有争议的问题。无论如何,您必须使用 SSL 来保护经过身份验证的 session 。

关于javascript - 如何在没有 javascript 的情况下对 Web 表单中的密码进行编码?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2323104/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com