Javascript 保证用户在；对",；网页？_Javascript_Authentication_Phishing

Javascript 保证用户在；对",；网页？

javascript authentication

Javascript 保证用户在；对",；网页？,javascript,authentication,phishing,Javascript,Authentication,Phishing,创建web应用程序时，如何确保用户在您的网页上，而不是在MITM攻击中使用的伪造网页上这个简单的问题似乎难以解决如果用户认为他/她在“www.chase.com”上，但实际上在“www.chaze.com”上（见下图），则通过SMS或RSA的一次性密码（OTP）等解决方案很容易出错对此问题的任何见解/帮助将不胜感激 WebAuthn不是答案。要查找“CSRF”，一个可靠的方法是使用WebAuthn。浏览器根本不允许您使用来自站点A的凭据登录站点B。除此之外，它实际上可以归结为教育用户，训

创建web应用程序时，如何确保用户在您的网页上，而不是在MITM攻击中使用的伪造网页上

这个简单的问题似乎难以解决

如果用户认为他/她在“www.chase.com”上，但实际上在“www.chaze.com”上（见下图），则通过SMS或RSA的一次性密码（OTP）等解决方案很容易出错

对此问题的任何见解/帮助将不胜感激

WebAuthn不是答案。

要查找“CSRF”，一个可靠的方法是使用WebAuthn。浏览器根本不允许您使用来自站点A的凭据登录站点B。除此之外，它实际上可以归结为教育用户，训练他们观看地址栏。使用谷歌访问该网站，而不是单击电子邮件中的链接等。现代、复杂的应用程序在检测已知帐户的异常流量模式方面也比现在好得多，但这并不是坚如磐石。使用https和证书（）在WebAuthn中使用安全密钥是有问题的（对用户来说既不方便，又不安全，如果用户将其密钥插入并离开他/她的工作站）。此外，WebAuthn还没有完全实现；也许当通过BLE的移动身份验证程序可用时（为开发人员提供了一个好的API），WebAuthn可能会有用。但目前，WebAuthn不是答案。是否要查找“CSRF"要做到这一点，一个可靠的方法是使用WebAuthn。浏览器根本不允许您使用站点A的凭据登录站点B。除此之外，还需要教育用户，训练他们观看地址栏。使用谷歌访问站点，而不是单击电子邮件中的链接等。现代、复杂的应用程序也非常适用于站点B现在，在检测已知帐户的异常流量模式方面做得更好了，但这并不是坚如磐石。将https与证书一起使用（）在WebAuthn中使用安全密钥是有问题的（如果用户将其密钥插入并离开其工作站，则会给用户带来不便，而且不安全）。此外，WebAuthn还没有完全实现；也许当通过BLE的移动身份验证程序可用时（为开发人员提供了一个良好的API），WebAuthn可能会很有用。但就目前而言，WebAuthn不是答案。