123*_*123 2 security ajax jquery get
如果我发送密码字段与get方法和ajax仍然不安全?
如果我发送密码字段html form,密码可以在URL中看到.
<form method='get'>
<input type"password" name="pass" />
<input type="submit" value="send" />
</form>
URL可以看作是 example.com/?pass=inputpass
但如果我用ajax发送(获取方法)密码无法看到任何地方.
所以这是正确的方法
或者为什么不使用ajax +获取密码?
为什么不应该使用ajax + get来发送密码?
如果您没有在地址栏中看到URL,则表示该URL不会通过浏览器历史记录或引用来泄漏,因此这肯定比灾难性的简单格式+ GET案例要好一些.
但是,URL可能仍然被记录和其他任何接触请求(代理,高速缓存,Web服务器本身,政府机构的数据挖掘...)可能泄露.总的来说这是一个惯例,网址是记录和分析非敏感和公平的游戏,所以你不应该把真正的敏感数据,如凭证,信用卡号码等在其中.这些最好通过POST.
如果您确实必须在URL中放置访问令牌,则可以使用缓解来降低访问令牌的危险性.例如,可以写一个服务器发出的限时或一次性令牌,而不是传递无限期的密码,这样如果有人在将来的某个时刻遇到日志中的旧URL,那么该URL就不会更长时间被接受.
但是对于正常的本地服务器AJAX请求,没有明显的理由需要这样做.