那些遇到过的问题

AJAX登录的安全漏洞

Pee*_*Haa 3 javascript security ajax login

现在很多网站都使用AJAX来让用户登录.

然而,这种设计存在(我认为)巨大的安全漏洞.

如果登录失败,则在向服务器发出的请求中使用了用户名/密码.

如果由于某种原因用户在此时走AFK,恶意用户可以查看用户已做出的请求(firebug/devtools).

它是否正确?

我们可以做些什么(不这么认为)?

Thi*_*ter 5

Firebug仅在请求期间处于活动状态时记录请求.除此之外,它还记录常规POST和AJAX POST(对于GET来说都是一样的,但是对于登录使用它会被延迟,因为它会导致密码以纯文本形式写入日志文件).

所以没有区别.此外,如果真实用户愚蠢到不能锁定他的PC,恶意用户可以简单地安装一个键盘记录器......

哦,如果证书完全无效(不仅仅是错字),那根本不重要......

  • 谢谢你的看法.我只是不同意你的最后一点:"哦,如果证书无效,那根本不重要......".这非常重要.特别是对于密码.用户可能只在一个字符的密码中输入了一个拼写错误.这将导致几乎整个密码可见.当用户输入错误的凭据时,这也是密码字段始终为空白的原因. (2认同)

归档时间:

查看次数:

221 次

最近记录:

14 年,10 月 前
相关归档
为什么parseInt(1/0,19)返回18? 849
javascript检查不为null 121
如何让AJAX触发浏览器的加载指示器 36
更改后使用 AJAX 重新上传文件会导致 Chrome 中的 net::ERR_UPLOAD_FILE_CHANGED 19
在鼠标单击之前,动态元素不会出现在IE8中 11
IE7中的jQuery AJAX问题(可能还有其他版本) 6
在哈希之后在URI中存储数据 5
如何使用java API访问安全的kerberized hadoop 3
如何在ASP.NET中使用登录系统上传特定文件夹? 1
Gmail,Twitter,Grooveshark以及使用纯javascript UI构建的网络应用程序如何防止人们窃取他们的代码? 1
难疑归档
For-each在JavaScript中的数组? 4448
在Git存储库中查找并恢复已删除的文件 2716
垂直对齐图像旁边的文字? 1881
C++ 11引入了标准化的内存模型.这是什么意思?它将如何影响C++编程? 1810
如何生成随机字母数字字符串? 1679
删除包含特定字符串的文本文件中的行 1670
如何在jQuery Ajax调用之后管理重定向请求 1319
如何检查iOS或macOS上的活动Internet连接? 1309
检查SQL Server中是否存在表 1068
在jQuery中删除事件处理程序的最佳方法? 1038