在「更改密碼」和「創建用戶」表格中,我在客戶端檢查password
和confirmPassword
的等同性。 檢查服務器上是否有任何安全優勢?在服務器上檢查`password` ==`confirmPassword`是否有任何安全性好處?
回答
檢查客戶端代碼將允許您給用戶即時反饋,檢查服務器允許您執行適當的驗證。
你不應該在客戶端執行任何真正的驗證,而應該只是爲了用戶的利益。
更改密碼錶單應始終提示用戶當前密碼以防止XSS,也不要將您的「舊密碼」字段與您的登錄或註冊密碼字段具有相同的字段名稱,以防止瀏覽器自動完成。
它也不會傷害隱藏字段中嵌入單次使用令牌
好方法。如此真實。 – user3021830 2015-02-08 14:54:35
這個問題不是關於一般的服務器/客戶端驗證。 – PHPst 2015-02-08 15:25:12
安全問題是某些字段沒有被服務器驗證,如果您有一個策略來處理所有已傳入的字段,則會降低人爲錯誤 – 2015-02-08 23:10:22
- 1. 如何檢查PEAR是否安裝在我的服務器上?
- 2. 如何檢查MS SQL服務器安全性是否被破壞?
- 3. 檢查PHP是否安裝在Apache或IIS服務器上?
- 4. 在生產win2008 Web服務器上安裝SVN是否安全?
- 5. 是否有任何關於URL可用性的安全假設?
- 6. 散列用戶名和密碼是否會產生任何安全性好處?
- 7. Debian服務器安全性
- 8. 網站安全性與服務器安全性有多大?
- 9. 在LAMP服務器上安裝Memcache,APC和Varnish是否很好
- 10. 檢查node.js服務器是否在線?
- 11. Javascript:檢查服務器是否在線?
- 12. 檢查LDAP服務器是否在線
- 13. 安全審計:如何檢查ssh服務器是否要求輸入密碼
- 14. req.secure如何在https安全通信中檢查傳入請求是否用於安全服務器?
- 15. 如何檢查目錄是否已安裝並可用?在服務器上
- 16. 如何檢查gdb服務器是否安裝在我的嵌入式pc上?
- 17. 如何檢查libwww-perl是否安裝在我的服務器上
- 18. 如何檢查應用程序是否安裝在多臺服務器上 - PowerShell
- 19. 如何檢查FTP服務器上的文件是否存在?
- 20. 如何檢查JBoss是否在Unix服務器上運行?
- 21. 如何檢查外部服務器上是否存在文件
- 22. 如何檢查Web服務器上是否存在文件
- 23. 如何檢查FTP服務器上是否存在文件?
- 24. 如何檢查服務器上是否存在數據PHP
- 25. 如何檢查magento是否在zend服務器上運行
- 26. 如何檢查MongoDB服務器是否在pc上運行
- 27. 是否有任何公式在服務器上生成JSESSIONID?
- 28. 如何檢查服務器是否能夠處理SOAP請求
- 29. 如何檢查服務器是否處於活動狀態?(c#)
- 30. PHP檢查是否Ghostscript的安裝在服務器
我不這麼認爲。這樣做的主要目的是確保用戶設置他認爲他正在設置的密碼。 – 2015-02-08 14:48:27
如果客戶端禁用JavaScript,最好在服務器端進行。沒有必要在客戶端做它。服務器端要簡單得多,因爲您只需編寫一次解決方案。正確「保護」系統的唯一方法是在數據庫中使用SSL和密碼哈希。我還建議使用久經考驗的密碼/哈希庫來幫助您簡化腳本。 – Kinnectus 2015-02-08 14:51:00