在我的 web.config 文件中,我有以下内容:
<authentication mode="Forms"> <forms name=".ASPXAUTH" protection="All" loginUrl="~/Account/Login.aspx" timeout="2880" /> </authentication>
但是当我登录并使用 fiddler 查看流量时,我仍然可以看到纯文本的密码。我不知道出了什么问题。
问候,
哑光
最佳答案
我只知道两种解决方案:
- 使用 https。最佳解决方案,最安全。
- 在发送密码之前使用 JavaScript 库 (sha1) 对密码进行哈希处理(并清除原始密码字段!)。还可以使用每次登录时都不同的随机生成的盐,将盐存储在服务器上和隐藏字段中,这样您也可以检查盐(用户不能更改它)。
关于c# - ASP.net 表单例份验证 - 保护对我不起作用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5098330/