Jquery 使用get方法发送密码字段,ajax仍然不安全?
如果我使用Jquery 使用get方法发送密码字段,ajax仍然不安全?,jquery,ajax,security,get,Jquery,Ajax,Security,Get,如果我使用get方法发送密码字段,而ajax仍然不安全 若我用html格式发送密码字段,则可以在URL中看到密码 <form method='get'> <input type"password" name="pass" /> <input type="submit" value="send" /> </form> URL可以看作example.com/?pass=inputpass 但如果我用ajax(get方法)发送,
gethtml格式发送密码字段<form method='get'>
<input type"password" name="pass" />
<input type="submit" value="send" />
</form>
example.com/?pass=inputpass或者为什么不使用ajax+get发送密码?是的,它仍然不安全。为了获得更高的安全性,在发送之前对其进行散列,然后在服务器端加上盐渍对其进行散列。还要确保使用https/tls。然而,不安全的不是ajax或“获取”方式本身 您可以使用ajax和get,只需确保流量已加密,密码已哈希 有人可以拦截流量并捕获密码
正如bobince所说,可以缓存/拦截请求URL。因此,您应该改用post,以便对参数(密码哈希)进行加密。是的,它仍然不安全。为了获得更高的安全性,在发送之前对其进行散列,然后在服务器端加上盐渍对其进行散列。还要确保使用https/tls。然而,不安全的不是ajax或“获取”方式本身 您可以使用ajax和get,只需确保流量已加密,密码已哈希 有人可以拦截流量并捕获密码 正如bobince所说,可以缓存/拦截请求URL。因此,您应该使用post,以便对参数(密码哈希)进行加密 为什么不应该使用ajax+get发送密码 如果您在地址栏中看不到URL,这意味着URL不会因浏览器历史记录或引用而泄漏,因此这肯定比灾难性的普通表单+GET案例要好一点 但是URL仍然可能被记录,并且可能被任何其他与请求有关的内容(代理、缓存、web服务器本身、政府机构数据挖掘…)泄漏。一般来说,URL是不敏感的,对于日志记录和分析来说是公平的,所以您不应该在URL中放入真正敏感的数据,如凭证、信用卡号码等。这些最好是邮寄的 如果您确实必须在URL中放置访问令牌,那么可以使用一些缓解措施来降低其危险性。例如,可以编写服务器发布的限时或一次性令牌,而不是无限期地传递一个有效的密码,这样,如果有人在将来某个时候在日志中遇到一个旧URL,那么该URL将不再被接受 但是对于普通的本地服务器AJAX请求,没有明显的理由需要这样做 为什么不应该使用ajax+get发送密码 如果您在地址栏中看不到URL,这意味着URL不会因浏览器历史记录或引用而泄漏,因此这肯定比灾难性的普通表单+GET案例要好一点 但是URL仍然可能被记录,并且可能被任何其他与请求有关的内容(代理、缓存、web服务器本身、政府机构数据挖掘…)泄漏。一般来说,URL是不敏感的,对于日志记录和分析来说是公平的,所以您不应该在URL中放入真正敏感的数据,如凭证、信用卡号码等。这些最好是邮寄的 如果您确实必须在URL中放置访问令牌,那么可以使用一些缓解措施来降低其危险性。例如,可以编写服务器发布的限时或一次性令牌,而不是无限期地传递一个有效的密码,这样,如果有人在将来某个时候在日志中遇到一个旧URL,那么该URL将不再被接受
但是对于一个普通的本地服务器AJAX请求,没有明显的理由需要这样做。我想我们这里讨论的是http而不是https?为什么要这样做,而不是
POSTPOSTPOSTGETPOSTPOSTPOSTPOSTGETPOST