现在很多网站都使用 AJAX 让用户登录。
但是,这种设计存在(我认为)巨大的安全漏洞。
如果登录失败,用户名/密码已用于向服务器发出的请求。
如果出于某种原因用户此时离开了 AFK,则恶意用户可以查看用户发出的请求 (firebug/devtools)。
这是正确的吗?
有什么我们可以做的吗(别这么想)?
最佳答案
Firebug 仅在请求期间处于事件状态时才记录请求。除此之外,它还记录常规 POST 和 AJAX POST(对于 GET 也是如此,但无论如何使用它进行登录都会延迟,因为它会导致密码以纯文本形式写入日志文件)。
所以没有区别。此外,如果真正的用户愚蠢到不锁定他的 PC,恶意用户可以简单地安装键盘记录器......
哦,如果凭据完全无效(不仅仅是拼写错误),那根本没有关系...
关于javascript - AJAX 登录的安全漏洞,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7064368/