if (jsonresponse == 'SESSION_ALREADY_LOGGED_IN' || jsonresponse == 'USER_ALREADY_LOGGED_IN'){
window.location.replace("${pageContext.request.contextPath}/TrialUser.jsp?rsUsername=" +
getURLParameter("rsUsername") + "&rsPassword" + getURLParameter("rsPassword") + "&rsUse=" +
getURLParameter("rsUse") +"&HOOK_URL=" + getURLParameter("HOOK_URL"));
}
爲什麼你在獲取請求時發送用戶名和密碼,它應該總是在發佈請求。
在情況下,如果你要做到這一點,至少通過JavaScript加密密碼或用戶詳細資料發送它
window.location.href = "index.php?Id=" + encrypt(5)+ "&No=" +encrypt(5);
我強烈recement不這樣做
簡單之前對它進行加密和在請求頭中的「認證」送它,你可以在使用一個簡單的HTTP基與用戶名/密碼的Base64,或使用承載和JWT(Ĵ AVA W¯¯ EB Ť奧肯)與令牌,散列和至少256位使其更加複雜。
如果您正在使用MD5那麼你應該知道它是在1991年破裂以及超過25年沒有以安全考慮。
似乎整體架構設計應該改變登錄功能。重新思考你希望如何實現這個過程可能是一個好主意。
此外,爲什麼發送用戶名/密碼作爲GET參數?通常還會在各種Web服務器/應用程序服務器中記錄GET請求,這會造成安全風險。在執行登錄序列時使用POST。
如果應該使用GET,請查看有關識別可能性的其他解決方案。
請爲您正在使用的代碼片段添加業務邏輯?您究竟在做什麼,爲什麼? –
在請求標題中添加憑證! –