我想知道当其他字段不验证时是否应该重新填充表单中的(屏蔽的)密码字段.我在网上看到过两种形式:
你最好的做法是什么?重新填充密码字段是否表示安全漏洞?可用性方面我更愿意重新填充该字段而不让用户重新输入它.
irc*_*ell 11
如果要执行此操作,一个选项实际上不是发送密码纯文本,而是随机令牌.由于它是密码字段,因此用户将无法分辨(除了长度).然后,将哈希密码和令牌存储在会话中.当用户提交表单时,如果密码字段与存储的令牌相同,请使用存储的密码哈希.否则使用提交的密码.这解决了缓存问题(因为随机令牌在其他会话的请求中没有意义).这样,您无需在初始表单提交后存储或传输原始密码......
| 归档时间: |
|
| 查看次数: |
2047 次 |
| 最近记录: |