Http 密码显示在fiddler、wireshark中

我打开fidder捕获，输入应用程序的用户名和密码，然后单击登录按钮。现在用户名和密码显示在fiddler中

我用的是素面。我不想显示密码

我在表单中添加了method=“post”。但它不起作用。请帮忙

Fiddler Capure如下所示：

POST HTTP/1.1

主机：localhost:8186

连接：保持活力

内容长度：391

接受：application/xml，text/xml，/；q=0.01

来源：

X-request-With:XMLHttpRequest

Faces请求：部分/ajax

用户代理：Mozilla/5.0（Windows NT 10.0；Win64；x64）AppleWebKit/537.36（KHTML，类似Gecko）Chrome/75.0.3770.100 Safari/537.36

内容类型：application/x-www-form-urlencoded；字符集=UTF-8

推荐人：

接受编码：gzip，deflate，br

接受语言：en-US，en；q=0.9

Cookie:JSESSIONID=025A4Ceed3F44EEA80E08B0154EC1EB

javax.faces.partial.ajax=true&javax.faces.source=myloginForm%3AloginButton&javax.faces.partial.execute=%40all&javax.faces.partial.render=myloginForm%3AouterPanel+myloginForm%3AstatusMsgPanel&myloginForm%3AloginButton=myloginForm&myloginForm%3AuserName=user1&myloginForm%3Apassword=password&javax.faces.ViewState=5967922235798284125%3A-8394345289058332812

---

您应该了解，默认情况下，任何HTTP消息都不是加密的。这意味着所有数据都是通过不安全的连接移动的。您甚至可能会注意到浏览器警告您的连接不安全，您不应该共享任何私人数据。解决方案是SSL/TLS加密。它允许你从双方对你的连接进行加密，这样信息就更难获取了。

---

根据您的编程语言，这一部分应该从服务器端完成。

请添加完整捕获。到目前为止，我并没有看到任何提示后“不工作”。顺便说一句：只要您使用http而不是https，所有数据都自然以纯文本传输。添加了完整捕获。我已经在生产环境中进行了验证，其中有https:\//produrl/myapp/login.xhtml HTTP/1.1，但仍然暴露了密码。这与JSF完全无关。在这个问题的上下文中，它仅仅是一个基于HTML表单的MVC框架，它生成HTML输出并使用HTML表单提交。当您使用任何其他基于HTML表单的MVC框架（如Spring MVC、Struts等）或其他语言（如PHP、ASP.NET-MVC等）时，您会遇到完全相同的问题。要解决您的特定问题，只需使用HTTPS而不是HTTP。在prod环境中，我们有HTTPS，但fiddler捕获还是一样的，确切地说：不安全的连接意味着所有数据都按原样发送，可以通过HTTP消息中的mime格式读取。