我注意到许多 JavaScript 密集型应用程序,如 gmail、google doc 等(google SSO)和其他网站不使用 javascript 来验证其登录表单。一般的做法是用JS作为第一级验证,服务器端验证作为第二级 那么为什么人们不使用 JavaScript 来验证登录页面呢?是否存在任何特定的安全风险?
最佳答案
您可以验证电话号码是否看起来像 Javascript 中的电话号码,这是一个简单的格式验证。
您无法使用Javascript验证登录凭据是否有效,这必须发生在服务器上。因为这不是简单的格式验证,而是服务器必须检查数据库中的信息是否与输入的数据匹配。
在 Javascript 中,您最多可以在客户端执行的操作是验证用户名是否看起来像有效的用户名(如果您有此类限制)或密码是否符合您的有效密码规则(如果您有此类规则)。这样做的目的是更快地清除绝对无效的值。但尤其是对于登录信息,您不想想要加快该过程。您希望该过程尽可能慢,以使攻击者更难以随机尝试用户名和密码。
关于javascript - 为什么登录页面不使用javaScript?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14042568/