0

我希望能够让特定用户严格访问我的网页,而不是通过 IP;但通过 Javascript 和 HTML。

获取安全字符串有多容易?

function fc4me(srvstr) {

   if(!document.pleazfc4me.email.value || !document.pleazfc4me.securitystring.value) {
      alert("Please fill in all the required fields!");
      return false;
   }
   if(document.pleazfc4me.securitystring.value != hexMD5("\x73\x73"+srvstr)) {
      alert("Registration Authorization String not accepted! Try Harder! ");
      return false;
    } else {
      document.pleazfc4me.submit();
    }

}

和另一页?

Security String<font color="orange">*</font>:
<input type="text" name="securitystring" size="35">
<input onClick="var srvstr='foo';fc4me(srvstr);document.pleazfc4me.securitystring.value='';return false;" name="submit" type="image" src="images/button-submit.png" />
4

4 回答 4

1

只有那些不够聪明,无法查看您的源代码的人才安全。哎呀,关闭 JavaScript 并提交表单。

于 2012-12-17T02:47:12.883 回答
1

在客户端做任何事情都不安全。您应该对服务器端进行身份验证检查。

于 2012-12-17T02:48:36.583 回答
1

没关系。document.pleazfc4me.submit();在控制台中,您完全绕过检查。

我可以轻松地完全关闭 JS,表单将作为默认行为提交。

您可以根据需要使用尽可能多的混淆,但除非您在服务器端代码中进行一些检查以拒绝未经授权的用户,否则任何人都可以绕过它。

于 2012-12-17T02:49:14.153 回答
0

您在 javascript 中所做的只是字段验证,实际上并没有增加页面的安全性。在开始处理请求之前,您始终可以检查您提交到的页面中的参数。这将减少回旋时间。

如果您想在同一页面本身显示消息,您甚至可以使用 AJAX 来验证字段。

于 2012-12-17T03:22:52.970 回答