0

我正在构建一个 javascript 库,它允许使用 SRP-6 协议对服务器进行身份验证。

我知道由于 XSS,使用 javascript 作为身份验证方法不是最佳选择。但是适当的 XSS 预防可以消除大多数问题。

我唯一关心的是在用户收到请求之前修改服务器回复有多容易?

示例场景:

用户请求页面:http://serverdomain/home

服务器:回复:

<html>
   <head>Home</head>
   <script type="text/javascript" src="auth.js"></script>
   <body>Home</body>
</html>

在用户收到回复之前。黑客能否以某种方式神奇地修改回复

<html>
   <head>Home</head>
   <script type="text/javascript" src="hacker_auth.js"></script>
   <body>Home</body>
</html>

这可能吗?这是我在使用 javascript 进行身份验证时能想到的漏洞之一。

4

2 回答 2

1

您可以使用像 HTTPS 这样的安全协议来避免这种情况,尽管一切都可以通过某种方式被黑客入侵,但有些比其他的更容易被破坏。

于 2012-12-31T22:01:09.953 回答
1

Badaboooooom 做到了:http ://en.wikipedia.org/wiki/Man-in-the-middle_attack 您可以使用 https 来降低风险,尽管使用诸如http://www.thoughtcrime.org/software/sslstrip/之类的工具如果用户没有注意到“锁”消失了,仍然可以进行攻击。

于 2012-12-31T22:16:36.377 回答