【发布时间】:2023-03-06 10:00:02
【问题描述】:
当然,这并不是说我无法访问 javascript。在我的大部分 CS Web 开发课程中,我们都学习了一些关于服务器端验证的知识,然后一引入 javascript,服务器端验证就被抛到了窗外。
我选择不只依赖 javascript,因为客户端从来都不是一个安全的地方。我已经养成了为这些事情编写客户端和服务器端代码的习惯。但是,对于我正在编写的具有可选 AJAX 的 Web 应用程序,如果有人关闭了 javascript,我不希望密码通过网络发送明文。
我意识到我可能会问一个 catch-22 的情况,所以让我问这个问题:当我们唯一可以依赖的情况下,我们如何知道我们的用户密码对于同一网络上的恶意用户来说是安全的(足够)服务器端脚本。在登录页面的第一个请求中,有没有办法让浏览器加密数据字段?
【问题讨论】:
-
+1 表示您对客户的合理偏执... =)
-
同意。永远不要相信来自浏览器的任何数据。用户可以随意更改。重新定义javascript,或者完全关闭它。或者只是将数据从他们自己网站上的页面发布到您的网站。 Javascript 检查只是为了给用户提供更流畅的 UI 体验,节省前往服务器标记不良数据的行程。但是,您必须在服务器上再次重复所有检查。
标签: javascript security encryption cryptography