1
我做了一個簡單的登錄表單,但是我發現的是,如果查看請求(它是ajax),您可以看到用戶密碼ie?user = Bob &通過=祕密通過GET或POST傳遞密碼的最佳方式
這是一件不要擔心的事情或者我做錯了什麼?我想不出一個辦法解決這個問題。
A
回答
1
如果你沒有使用SSL 然後 GET 和 POST 是等價的。雖然POST在SSL存在時比GET更安全。
GET發送未加密的數據,但是當您使用SSL時,將發送的HTTP數據將被加密,因此它將是安全的。
您可以檢查出相關的線索: - Send password safely using an ajax request
+0
此外,如果通過'GET'發送密碼,長度將受到限制到URL的最大長度。 – Arin
0
如果你能夠查看請求,您可以查看密碼是否是一個未加密的GET或POST請求。
爲了保護用戶,最佳做法是同時提供登錄頁面和通過SSL將數據發佈到服務器。這將有助於防止邪惡組織查看請求並查看敏感信息。
如果你想更進一步,你甚至可以在發送到你的服務器之前,安全地用JavaScript來散列用戶密碼。這裏有一些更多的信息:https://softwareengineering.stackexchange.com/questions/76939/why-almost-no-webpages-hash-passwords-in-the-client-before-submitting-and-hashi
+0
目前我正在使用PBKDF2以16000次迭代散列serverside。散列客戶端對於一些機器不好的人來說可能會很慢,並且會把所有客戶端引入關於散列的新安全問題? – imperium2335
+0
@ imperium2335: - 我建議你使用bcrypt來保護密碼: - http://codahale.com/how-to-safely-store-a-password/ –
+0
@ imperium2335: - 同時檢查這個相關的線程爲您的查詢: - http://crypto.stackexchange.com/questions/24/what-makes-a-hash-function-good-for-password-hashing –
0
使用帖子或獲取通過https ... http post和get請求是純文本。
相關問題
- 1. 通過HTTPS發送密碼:GET與POST
- 2. 通過TCP傳輸RSA加密數據的最佳方式?
- 3. 通過segue傳遞子類的最佳方式是什麼?
- 4. 通過ajax傳遞輸入的最佳方式
- 5. Qt Qml通過加載器傳遞模型的最佳方式
- 6. 通過POST傳遞「&」
- 7. 與數據庫通信的最佳實踐 - POST或GET?
- 8. nicedit格式不通過jquery傳遞$ .get
- 9. 通過POST提交UL的最佳方式是什麼?
- 10. 通過GET爲file_get_contents傳遞變量 - 一種不同的方式
- 11. 什麼是POST的最佳方式/ GET Excel數據
- 12. aws-sdk S3:通過listObjectsV2遞歸列出所有密鑰的最佳方式
- 13. 通過Ajax調用傳遞ID的最佳方法是什麼?
- 14. 通過GET或POST的AJAX請求?
- 15. 通過Python傳遞SSH密碼輸入
- 16. 安全地通過bash傳遞密碼
- 17. 傳遞數據通過POST
- 18. 通過POST傳遞模型
- 19. 通過Ajax或jQuery的post或get方法加載jQuery代碼(以及html)
- 20. 如何通過post或get來傳遞表單中選擇列表的id值?
- 21. 通過GET或POST將javascript變量傳遞給php文件的函數?
- 22. 通過C++接口的最佳方式?
- 23. 加密/解密通過PHP上傳的文件的最佳方法是什麼?
- 24. POST或GET方法?
- 25. 通過傳遞模型測試HTTPPOST請求的最佳方式是什麼?
- 26. 最佳方式/解密
- 27. 通過url傳遞數組並通過GET方法得到它
- 28. 如何在ajax get或post方法中傳遞&(&符號)?
- 29. 如何通過JavaScript檢索GET或POST?
- 30. 通過GET或POST提交超鏈接
'如果您查看請求' - 誰是'您',以及他們'如何查看'請求? – raina77ow
這個問題可能會幫助你:http://stackoverflow.com/questions/4003325/send-password-safely-using-an-ajax-request –