- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
假设您有一个网络应用程序在隐藏的表单字段中传递用户名和密码。
我知道这是一个非常糟糕的主意,但我有兴趣列举原因......有什么想法吗?
更新 - 这是一个假设性问题。
我找不到只是列举原因的资源 - 我知道有很多原因表明这是个坏主意,我想看看是否还有其他我没有想到的原因并创建该资源我在寻找。谢谢!
最佳答案
为什么这是个糟糕的主意的原因有很多:
1) 正如所指出的,如果您查看源代码、检查元素或任何类似的东西,那么用户名/密码很容易被发现。
2) 除非你的传输层是加密的,否则它们很容易被拦截。
3) 如果浏览器缓存了您的 html 页面,那么带有用户名/密码的文件现在就存储在该人的计算机上。
4) 如果该用户保存页面以提供给其他人,则他们的用户名/密码将与该页面一起使用。
5) POST 方法意外更改为 GET,现在密码和用户名存储在服务器访问日志中....
等等等等
在我看来,没有真正的理由这样做,尤其是当您可以在服务器上使用 session cookie 或其他一些不会向客户端公开私有(private)信息的方法时。
编辑:想想看,我以前做过一次。我将密码放在隐藏字段中,但是在这样做之前,我在打印出来之前使用只有服务器知道的 key 对其进行了加密,然后当我将密码发回服务器时,我将其解密。因此,明文密码永远不会存在于客户端。
编辑 2:根据 hobbs 观点,可能应该指出之前编辑中描述的方法并未用于直接对某人进行身份验证。
关于security - 存储在隐藏表单字段中的用户名和密码有多糟糕?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1872595/
我尝试通过正则表达式将文本中的单引号更改为双引号。 (单字)示例:我走了。 You gona fly to planet 'Ziqtos' => 我需要在 I'm 中保留单引号,并在 You gona
我正在构建一个 API,其中大部分将包含 JSON 和 HTML 内容。但是一些非常具体的端点只呈现 true 或 false,并且还在 POST 中接受 true 或 false。这是请求或响应的整
我是一名优秀的程序员,十分优秀!