joh*_* Gu 1 .net html security
我想使用javaScrip调用Web服务,但Web服务调用包含用户名和密码,因此我考虑将用户名和密码的值存储在隐藏字段中,然后通过附加使用javaScript构建Web服务URL用户名和密码的值.如果我要为这些Web服务调用实施https,那么将存储用户名和密码的值作为html页面内的隐藏字段考虑安全吗?
绝对是的,黑客将能够看到隐藏领域的价值.对于查看页面源的任何人来说,HTML中的隐藏字段都很容易看到.
为了显示这一点,这里有一些来自谷歌登录页面的代码.
<form id="gaia_loginform"
action="https://www.google.com/LoginAction2?service=mail" method="post"
onsubmit="return(gaia_onLoginSubmit());">
<div id="gaia_loginbox">
<table class="form-noindent" cellspacing="3" cellpadding="5" width="100%" border="0">
<tr>
<td valign="top" style="text-align:center" nowrap="nowrap"
bgcolor="ddf8cc">
<input type="hidden" name="ltmpl"
value="default">
<input type="hidden" name="ltmplcache"
value="2">
特别注意这一点:
隐藏意味着它不会显示在网页上,但仍包含在源代码中.所有人都必须做的是导航到页面,查看源代码,他们可以找到任何隐藏的条目.
| 归档时间: |
|
| 查看次数: |
195 次 |
| 最近记录: |