Javascript 用JS提高安全性
我在尝试一些小主意,但遇到了一个障碍 此时,当用户登录时,他们的密码存储在一个变量中,稍后再进行处理。显然,要获得密码所要做的就是进入开发人员工具或控制台或其他任何地方,添加一条类似于Javascript 用JS提高安全性,javascript,Javascript,我在尝试一些小主意,但遇到了一个障碍 此时,当用户登录时,他们的密码存储在一个变量中,稍后再进行处理。显然,要获得密码所要做的就是进入开发人员工具或控制台或其他任何地方,添加一条类似于alert(pass.value)的语句 我知道这是不现实的,但它一直困扰着我。有没有办法检测警报语句并以某种方式扰乱密码?正则表达式还是字符串替换 谢谢 如果您想拥有一个安全的系统,请不要将密码存储在客户端。在JavaScript中,如果密码存储在JavaScript变量中,您绝对无法阻止某人访问密码 所有身份验
alert(pass.value)的语句
我知道这是不现实的,但它一直困扰着我。有没有办法检测警报语句并以某种方式扰乱密码?正则表达式还是字符串替换
谢谢 如果您想拥有一个安全的系统,请不要将密码存储在客户端。在JavaScript中,如果密码存储在JavaScript变量中,您绝对无法阻止某人访问密码
所有身份验证都应该在服务器端处理。如果您将密码存储在某处,请不要以纯文本形式存储密码,也不要使用自制的加密方法。密码学充满了雷区,很容易出错,我建议使用经过深思熟虑的系统,如。如果你想拥有一个安全的系统,不要将密码存储在客户端。在JavaScript中,如果密码存储在JavaScript变量中,您绝对无法阻止某人访问密码
所有身份验证都应该在服务器端处理。如果您将密码存储在某处,请不要以纯文本形式存储密码,也不要使用自制的加密方法。密码学充满了雷区,很容易出错,我建议使用经过深思熟虑的系统,如。我建议不要在客户端保留任何类型的凭证信息。一个易于实现的可行解决方案是安全令牌密码。一个简单的过程如下所示:
- 用户访问网站。通知凭证
- 网站验证凭据。创建与用户ID关联的临时令牌,并将其存储在客户端
- 用户访问网站。通知令牌
- 根据用户标识的存储验证令牌
我建议不要在客户端保留任何类型的凭据信息。一个易于实现的可行解决方案是安全令牌密码。一个简单的过程如下所示:
- 用户访问网站。通知凭证
- 网站验证凭据。创建与用户ID关联的临时令牌,并将其存储在客户端
- 用户访问网站。通知令牌
- 根据用户标识的存储验证令牌
没有任何javascript是完全不安全的,因为它是在客户端上执行的。这意味着,客户端甚至可以删除阻止警报语句的代码等等。你应该把你所有的安全措施都转移到服务器站点上——为什么你需要在javascript变量中输入密码呢?相信我,这是非常现实的!这是一种危险的方法,最好的解决方案是不在客户端存储此信息,而是在成功身份验证后创建一次性令牌。您可能应该重新考虑在客户端存储密码的方法。如果必须,可以存储MD5哈希。MD5已损坏。使用sha1MD5验证文档已经失败,但它仍然是隐藏密码的可行方法。但是这些都不应该在客户端完成,所以这并不重要。没有javascript是完全不安全的,因为它是在客户端执行的。这意味着,客户端甚至可以删除阻止警报语句的代码等等。你应该把你所有的安全措施都转移到服务器站点上——为什么你需要在javascript变量中输入密码呢?相信我,这是非常现实的!这是一种危险的方法,最好的解决方案是不在客户端存储此信息,而是在成功身份验证后创建一次性令牌。您可能应该重新考虑在客户端存储密码的方法。如果必须,可以存储MD5哈希。MD5已损坏。使用sha1MD5验证文档已经失败,但它仍然是隐藏密码的可行方法。但是这些都不应该在客户端完成,所以这并不重要。谢谢,这非常有帮助!:-)注意!谢谢,这很有帮助!:-)注意!