Javascript 是否可以在传输时修改服务器回复
我正在构建一个javascript库,允许使用SRP-6协议对服务器进行身份验证 我知道由于XSS的原因,使用javascript作为身份验证方法不是最好的选择。但是适当的XSS预防可以消除大多数问题 我唯一关心的是在用户收到请求之前修改服务器回复有多容易 示例场景: 用户请求页面:Javascript 是否可以在传输时修改服务器回复,javascript,security,srp-protocol,Javascript,Security,Srp Protocol,我正在构建一个javascript库,允许使用SRP-6协议对服务器进行身份验证 我知道由于XSS的原因,使用javascript作为身份验证方法不是最好的选择。但是适当的XSS预防可以消除大多数问题 我唯一关心的是在用户收到请求之前修改服务器回复有多容易 示例场景: 用户请求页面:http://serverdomain/home 服务器: 答复如下: <html> <head>Home</head> <script type="text/j
http://serverdomain/home<html>
<head>Home</head>
<script type="text/javascript" src="auth.js"></script>
<body>Home</body>
</html>
家
家
<html>
<head>Home</head>
<script type="text/javascript" src="hacker_auth.js"></script>
<body>Home</body>
</html>
家
家
这可能吗?这是我在使用javascript进行身份验证时想到的漏洞之一。您可以使用HTTPS之类的安全协议来避免这种情况,尽管一切都可以通过某种方式被入侵,但有些更容易被破坏。Badaboooom明确指出:您可以使用HTTPS来降低风险,如果用户没有注意到“锁”不见了,像这样的工具仍然可以使攻击成为可能。?是的,这是可能的,有很多方法可以做到。@BADABOOOOM这是我要找的术语,谢谢@RichardHeath,而且它并不局限于javascript。客户端和服务器之间的任何形式的非屏蔽通信都可以被截获。您应该使用HTTPS上的SRP,因为它们是互补的,并且它提供了一些额外的防御措施来抵御此类攻击。