Php 安全弹出式登录可能吗?
我有一个登录表单,它隐藏在每个页面上,并在需要时显示自己,而不是设置一个新的页面请求 我注意到,为了使登录真正安全,表单操作应该指向https页面,但登录表单本身也应该位于https页面上Php 安全弹出式登录可能吗?,php,javascript,jquery,security,https,Php,Javascript,Jquery,Security,Https,我有一个登录表单,它隐藏在每个页面上,并在需要时显示自己,而不是设置一个新的页面请求 我注意到,为了使登录真正安全,表单操作应该指向https页面,但登录表单本身也应该位于https页面上 有没有一种方法可以在不使用整个站点https的情况下确保弹出式登录表单的安全?除了用SSL协议包装整个站点,唯一的另一种选择是让弹出表单成为一个IFRAME,指向另一个页面,该页面的表单位于HTTPS连接上。如果初始请求由HTTP提供,并且您使用相同的通道提供“HTTPS”链接/表单等,攻击者只需将该HTTP
有没有一种方法可以在不使用整个站点https的情况下确保弹出式登录表单的安全?除了用SSL协议包装整个站点,唯一的另一种选择是让弹出表单成为一个IFRAME,指向另一个页面,该页面的表单位于HTTPS连接上。如果初始请求由HTTP提供,并且您使用相同的通道提供“HTTPS”链接/表单等,攻击者只需将该HTTPS更改为HTTP即可 这一点已通过以下实例得到证明 您可以做的是通过HTTP提供HTTPS表单,但启用 当然,我假设你会有这样的链接,将由。。。这样,您必须使用AJAX弹出窗口(或iframe)仅为子站点/一个虚拟主机创建SSL证书,该弹出窗口(或iframe)在
http://
页面上(理论上)指向https://
,这会出现两个问题:
https://
站点:mybank.example.com
和攻击者。example.com
都可以拥有由可信机构颁发的有效证书。
如果我连接到我的银行,我想知道我是通过HTTPS连接到我的银行的。从弹出窗口或iframe向https://
站点发送凭据会隐藏真正的目标网站
当通过HTTPS提供初始页面时,也可能发生此问题,不幸的是,这一点已被证明(这些人应该更清楚,真的!)
简而言之,不要使用iframe或弹出窗口,而是通过HTTPS提供登录表单的页面。您会选择这两个选项中的哪一个?我想SSL包装器会减慢速度,iframe会增加膨胀……如果您的脚本在单击弹出iframe时动态注入iframe,这不会增加开销。我必须同意这一点。如果可能的话,为了安全连接,应该避免使用Iframe。所以SSL包装器是唯一的安全选项?老实说,如果你那么担心安全性,我会把整个站点放在SSL证书后面。问题解决了。它不会给现有流程增加任何开销,并解决您的问题。话虽如此,您必须记住,如果您将表单提交到HTTPS站点,那么您在这一点上几乎被覆盖了。如果他们在活动连接中主动输入密码,情况会有所不同,但网站不是这样工作的。当他们连接到您的站点时,他们会将所有内容下载到浏览器中。当他们提交表格时,它是在一个安全的连接上。我认为这是可能的。您可以尝试使用一个JavaScript函数打开一个带有HTTPS地址的登录弹出窗口。您的意思是“攻击者将简单地将HTTPS更改为HTTP”?攻击者将使用任何中间人攻击工具将HTTPS与HTTP交换。