在我们的项目中,我们希望保护用户的密码免受匿名攻击者的攻击(通过中间人或任何技术)。所以我正在通过 Fiddler 探索登录页面的 HttpRequest。以下链接将解释我在 Fiddler http://www.sharexfiles.com/image/2015-02-24_113847_0.jpg 中得到的内容. (请注意请求文本 - 红色和绿色 View 状态)。
为了保护 View 状态,我在配置 enableViewStateMac="true"viewStateEncryptionMode="Always"
中添加了以下内容,然后我的 HttpRequest 看起来像链接中的以下内容 http://www.sharexfiles.com/image/2015-02-24_114302.jpg .请注意此处的绿色和红色 block 。
我的问题基于上述内容,我的 View 状态已加密(即绿色 block )但我的请求未加密(红色 block ),因此我的密码清晰可见。攻击者是否可以通过任何方式获得此请求(红色 block )以了解用户的密码?无论如何我可以检查我发送的请求是否从客户端到服务器是安全的?
注意:我在这个项目中使用 SSL (HTTPS)。最好为此提供相应的答案。
感谢您的帮助。 :)
最佳答案
如果您使用的是 https,那么您只能看到这些请求,因为您允许 Fiddler 通过启用 https decryption 来夹击您。 .
如果您想了解攻击者实际能看到什么,您应该使用像 Wireshark 这样的工具.您会发现攻击者看不到您的密码。
另一种选择显然是在 Fiddler 中禁用 http 解密。
关于c# - 在 asp.net 页面中保护密码 View 状态,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28687887/