身份驗證HTML表單與jQuery的

Question

我建立一個簡單的Web應用程序的Web服務器。 我沒有能力使用SSL來保護與客戶端的通信。

眼下流程爲：

用戶第一次被註冊：

1）用戶是選擇一個用戶和一個密碼（HTML形式）

2）的密碼被哈希函數和密鑰哈希（帶有級聯鹽）（jQuery）

3）哈希結果正在發送到服務器並存儲在數據庫中

在任何登錄：

1）在歡迎頁 - 密碼被散列，結果被髮送到服務器

，並與來自DB中的散列結果被司儀。 2）如果密碼正確」一個認證令牌被髮送到客戶端並且被存儲在cookie中 。

3）在每一頁令牌被髮送到服務器並進行驗證。

**我的問題是：**

1）是我對數據進行加密的方式好還是缺乏（它比較SSL）？

2）如何防止XSS（跨站腳本） - 從用戶Cookie棒磨令牌並使用，以在不提供用戶名和密碼從服務器獲取數據？

Answer 1

我的數據加密方式是好還是缺乏（與SSL比較）？

否散列密碼實際上是真正的密碼，並以明文形式發送。

如何防止XSS（跨站點腳本） - 在用戶cookie上使用令牌並用於從服務器檢索數據而不提供用戶和密碼？

使用通常的機制來保護您的站點免受XSS影響，即清除/轉義您輸出的所有數據，因此腳本無法從客戶端注入。