.htaccess 在处理HTTP身份验证时,如何在URL上使用特殊字符(密码)?
我有一个受基本HTTP身份验证保护的目录 当我访问其URL时,浏览器会询问我用户名和密码 我的密码是.htaccess 在处理HTTP身份验证时,如何在URL上使用特殊字符(密码)?,.htaccess,http,basic-authentication,.htaccess,Http,Basic Authentication,我有一个受基本HTTP身份验证保护的目录 当我访问其URL时,浏览器会询问我用户名和密码 我的密码是Cw=y?qUPP+Xy,可以正常工作 但是,我想通过URL上的用户名和密码直接访问它 我试过这个: https://user:Cw=y?qUPP+Xy@example.com,但它不起作用,出于某种原因,google chrome返回以下内容: 附近有工作吗 您需要对其进行URL编码 例如,“@”将变成“%40” 但考虑到通过HTTP和/或GET(查询字符串中的参数)发送用户和密码不是一个好主
Cw=y?qUPP+Xy
,可以正常工作
但是,我想通过URL上的用户名和密码直接访问它
我试过这个:
https://user:Cw=y?qUPP+Xy@example.com
,但它不起作用,出于某种原因,google chrome返回以下内容:
附近有工作吗 您需要对其进行URL编码
例如,“@”将变成“%40”
但考虑到通过HTTP和/或GET(查询字符串中的参数)发送用户和密码不是一个好主意。。。尝试在HTTPS下使用POST方法
我将继续,并将我的评论添加到此答案中,以便于查看:
即使是本地网络,并且您正在使用HTTPS,通过GET发送密码也是不安全的。。。想象一下,我是一名管理员,有人在我身后(不是管理员),当我提交表单时,他们可以简单地去检查URL并知道我的密码。不是个好主意,对吧
这就像使用
而不是
作为密码一样。为什么要在URL中输入用户名和密码?在URL中显示密码是不安全和危险的。请不要使用GET协议,而是使用POST。即使我使用的是https://?反正它在本地网络上。@viniciusmunich即使是本地网络也不安全。。。想象一下,我是一名管理员,有人在我身后(不是管理员),当我提交表单时,他们可以简单地去检查URL并知道我的密码。不是个好主意,对吧?这就像用a代替a,上面的评论不一定是真的;浏览器应该解析URL中的用户名和密码,并代表您创建基本身份验证标头,这意味着当请求到达服务器时,URL中不存在凭据。也就是说,可以(远程或物理)访问您的设备的人可以通过这种方式查看您的URL历史记录并窃取凭据。