安全问题:登录时,如何隐藏用户提交的用户信息,比如账号,密码之类的
streamlong 发布于 2018年01月12日 (共有6个回帖)
最近做登录需求时,想到一个安全问题,系统对外(公网)访问时,如何隐藏用户输入的一些敏感信息,比如账号,密码之类的。
今天特意去看了下12306的登录接口,在浏览器network一栏,能看到访问的链接,但是所有的登录信息都是加密后放在cookie里面的, iteye也是这样处理的。
oschina的登录界面,在浏览器network一栏,看不到明显的处理请求,基本都是js,图片的加载信息,没太看懂这里的实现。
大家对这一块的安全问题都是怎么处理的呢?
- 网友回帖 (6)
-
NinthCode 发表于 3个月前用https的话,不就是加密的了吗?或者自己做一下非对称加密
--- 共有 1 条评论 ---- streamlong(3个月前):是,https是加密了,但是这个是针对整个请求的加密,但是你在开发者控制台上面仍然可以看到你提交的请求参数明文,而我不希望一些敏感的信息明文出现在请求参数里面。
-
salvinlee 发表于 3个月前账号无所谓,密码都是密文传输,在页面用JS加密传给后台.
--- 共有 2 条评论 ---- salvinlee(3个月前): 回复 @streamlong : DES,AES,MD5都可以,主要看需求,如果后台需要用明文校验就用DES,不用就用AES/MD5都可以~
- streamlong(3个月前):js加密密码传输,这里一般都是采用那种加密方式?bcrypt?
-
BoXuan 发表于 3个月前form表单数据提交时,内部会有个简单的处理,如果用js提交,那么可用的加密手段就多了,不过只要代码中包含加密密钥,基本仍是不安全的。相信也没有绝对的安全。
--- 共有 1 条评论 ---- streamlong(3个月前):所以一般才采用第三方加密,比如证书之类的?
-
草红薯 发表于 3个月前https+rsa双向加密解密。 -
Fred 发表于 3个月前用https是成本最低,实现最快的方式~
-
streamlong 发表于 3个月前引用来自“Fred”的评论
用https是成本最低,实现最快的方式~
用https只是保证你整个请求是被加密的,但是你通过开发者工具,仍然可以看到你本地提交的请求参数里面的一些敏感信息,比如用户名密码之类的,而我不希望我输入的账号和密码明文显示在请求参数里面😳,:),所以向大家请教。登录这里的请求参数,一般是怎么处理的?
--- 共有 1 条评论 ---- Fred(3个月前):其实这个只能你自己看得到。。。抓包工具是捕捉不到原始数据的