87,993
社区成员
发帖
与我相关
我的任务
分享关于网页提交表单的安全问题
在网页上输入用户名密码时,如果不使用https,那么即使使用js加密,有些人可以通过抓包获取加密后的数据(不需要对js加密的数据解密),然后把数据放在http请求参数里,从而实现登陆别人的账号。也就是说,在网页上利用js加密是没用的。
现在大多数网站登陆都是使用https,那样黑客就不能获取http请求的参数了。但是有些网站(例如淘宝),仍然先用js加密,再使用SSL加密。我想问的就是,利用js加密不是多此一举吗?因为黑客不太可能从SSL加密后的密文中解密出http的请求参数,即使解密出来,那他就完全可以像上面说的那样(不需要对js加密的数据解密),把请求参数放在http请求包里,冒充别人登陆。
现在大多数网站登陆都是使用https,那样黑客就不能获取http请求的参数了。但是有些网站(例如淘宝),仍然先用js加密,再使用SSL加密。我想问的就是,利用js加密不是多此一举吗?因为黑客不太可能从SSL加密后的密文中解密出http的请求参数,即使解密出来,那他就完全可以像上面说的那样(不需要对js加密的数据解密),把请求参数放在http请求包里,冒充别人登陆。
...全文
请发表友善的回复…
发表回复
LanXueCao 2017-10-02
- 打赏
- 举报
........................................................................................................................................................................................
hookee 2017-09-30
- 打赏
- 举报
可以查一下 CSRF 攻击
emperorname 2017-09-30
- 打赏
- 举报
我截获淘宝网的登陆页面发送的数据包看过,淘宝就是使用了token。我很好奇这个令牌机制(我是渣渣,没接触过)。请问2楼可以说的详细点吗?或者介绍一些相关的博客让我看看。谢谢!
本人QQ-554433626 2017-09-30
- 打赏
- 举报
使用token 设置token有效期 每次验证都要匹配token
更安全的是使用token加密解密数据 token也是不固定的
zzm_fengye 2017-09-30
- 打赏
- 举报
ajax提交
