给定以下场景:我们有一个用于更改帐户密码的 html 表单。它看起来像这样:
CurrentPassword: __________________
NewPassword: __________________
NewPasswordAgain: __________________
我们想通过 ajax 调用发送这个请求。如果我们发送它并离开我们的计算机(没有注销并停留在完全相同的页面上),那么有人可以打开 webkit 检查器(或 Firebug )并看到如下内容:
http://cl.ly/3y213W1q0U2y2e251k0O
要使其更安全,您的解决方案是什么?甚至可以在此处使用 ajax 调用,还是使用发送后重新加载整个页面的“普通”html 表单会更好?
最佳答案
使用“普通”html 表单也有同样的问题,因为数据包嗅探可以很容易地在 POST 或 GET header 中揭示相同的数据。
我能想到的最佳解决方案是通过 javascript 在用户端加密密码。您真的不必担心“如果用户禁用了 javascript 怎么办?”因为在这种情况下,AJAX 请求也不会通过。显然,这可能会对您存储密码的方式产生影响,但它将允许您继续使用 AJAX 请求来更新密码。
关于javascript - 通过ajax提交密码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5832929/