Jquery 通过GET或POST传递密码的最佳方式
我制作了一个简单的登录表单,但困扰我的是,如果查看请求(它是ajax),您可以看到用户密码,即user=Bob&pass=secretJquery 通过GET或POST传递密码的最佳方式,jquery,ajax,post,login,get,Jquery,Ajax,Post,Login,Get,我制作了一个简单的登录表单,但困扰我的是,如果查看请求(它是ajax),您可以看到用户密码,即user=Bob&pass=secret 这是一件根本不用担心的事情,还是我做错了?我想不出解决这个问题的办法。如果您没有使用SSL,那么GET和POST是等效的。尽管存在SSL时POST比GET更安全 GET发送未加密的数据,但当您使用SSL时,将发送的HTTP数据将被加密,因此它将是安全的 您可以查看相关线程:-如果您能够查看请求,您可以查看密码,无论它是未加密的GET请求还是POST请求 为了保护
这是一件根本不用担心的事情,还是我做错了?我想不出解决这个问题的办法。如果您没有使用SSL,那么GET和POST是等效的。尽管存在SSL时POST比GET更安全 GET发送未加密的数据,但当您使用SSL时,将发送的HTTP数据将被加密,因此它将是安全的
您可以查看相关线程:-如果您能够查看请求,您可以查看密码,无论它是未加密的GET请求还是POST请求 为了保护用户,最佳做法是为登录页面本身提供服务,并通过SSL将数据发布到服务器。这将有助于防止恶意方查看请求和敏感信息
如果您想更进一步,您可以在将用户密码发送到服务器之前安全地在Javascript中散列用户密码。这里有一些关于这方面的更多信息:使用post或通过https。。。Http post和get请求是纯文本。始终使用HTTPS并始终选择post。GET方法允许浏览器在历史记录中存储URL时存储用户名和密码,也可以发送到第三方网站,例如google analytics。此外,服务器通常会记录请求数据,包括查询字符串参数。很明显,为什么使用GET是一个非常糟糕的主意。“如果您查看请求”-谁是“您”以及他们是如何“查看”请求的?这个问题可能会帮助您:目前我正在对服务器端使用PBKDF2进行哈希处理,迭代次数为16000次。对一些机器性能较差的人来说,对客户端进行哈希处理可能会很慢,并且将其全部放在客户端会导致有关哈希的新安全问题?@imperium2335:-我建议您使用bcrypt来保护密码:-@imperium2335:-还要检查此相关线程以获取查询:-它当然会更改安全配置文件,但我不确定是好是坏。完全不传输密码是最好的,而在客户端进行散列(只要安全地完成)是朝着这个方向迈出的一步。据我所知,你能做的最远的事情是SRP()。此外,如果通过
GET
发送密码,那么长度将被限制为URL的最大长度。