Fatal编程技术网
  • angularjs/
  • Angularjs 被拒绝的HTTPS密码正在浏览器中显示纯文本密码

Angularjs 被拒绝的HTTPS密码正在浏览器中显示纯文本密码

angularjs authentication asp.net-web-api

Angularjs 被拒绝的HTTPS密码正在浏览器中显示纯文本密码,angularjs,authentication,asp.net-web-api,Angularjs,Authentication,Asp.net Web Api,我们有一个web应用程序,前端是HTML/AngularJS,后台使用MS web API。出于安全原因,我们需要使用HTTPS。我读过的每一篇关于使用明文密码和如何登录的文章基本上都归结为“只要使用HTTPS,一切都会安全” 最近,我们在内部测试应用程序,当QA人员尝试登录时,Web API服务意外关闭。接下来发生的是您在下图中看到的情况。密码在浏览器中以纯文本显示。QA、我的老板、公司、上帝和美国的每一个人都因为这个而“吃了一头牛” 浏览器中显示的消息不是我编写的,它似乎是AngularJS

我们有一个web应用程序,前端是HTML/AngularJS,后台使用MS web API。出于安全原因,我们需要使用HTTPS。我读过的每一篇关于使用明文密码和如何登录的文章基本上都归结为“只要使用HTTPS,一切都会安全”

最近,我们在内部测试应用程序,当QA人员尝试登录时,Web API服务意外关闭。接下来发生的是您在下图中看到的情况。密码在浏览器中以纯文本显示。QA、我的老板、公司、上帝和美国的每一个人都因为这个而“吃了一头牛”

浏览器中显示的消息不是我编写的,它似乎是AngularJS的一部分,AngularJS试图帮我一个忙,向我显示一个失败的API调用以及它试图传递给API的对象。在这种情况下,(我认为)Angular拥有这些信息是有道理的

有人能帮我理解这里发生了什么吗?解决这个问题的正确方法是什么?我假设我可以先在客户端添加一些JavaScript代码来加密密码,但是黑客在客户端截获密码似乎也非常容易。那么,采取什么正确的方法来保证客户端的安全呢

不看代码很难判断,但我发现了类似的情况:

不看代码很难判断,但我发现了类似的情况:

发生的情况是,用户(您)和浏览器(在您的计算机上)位于同一信任边界中

你刚刚在浏览器中输入了密码。浏览器仅将其隐藏在输入框中,以防止肩部冲浪。浏览器并不会试图隐藏您刚刚输入的内容

如果在浏览器中打开dev tools,则可以看到通过HTTP协议中的线路发送的任何内容。信任边界之外的任何人都看不到这一点,因为HTTPS协议对网络上的任何内容进行加密。

发生的情况是,用户(您)和浏览器(在您的计算机上)位于同一信任边界

你刚刚在浏览器中输入了密码。浏览器仅将其隐藏在输入框中,以防止肩部冲浪。浏览器并不会试图隐藏您刚刚输入的内容

如果在浏览器中打开dev tools,则可以看到通过HTTP协议中的线路发送的任何内容。信任边界之外的任何人都看不到这一点,因为HTTPS协议对线路上的任何内容进行加密。

HTTPS基本上是HTTP和SSL/TLS,后者是传输层协议。他们不加密数据本身,而是加密数据传输。HTTPS基本上是HTTP和SSL/TLS,后者是传输层协议。他们不加密数据本身,而是加密数据传输。 
app.config(['$qProvider', function ($qProvider) {
    $qProvider.errorOnUnhandledRejections(false);
}]);