0

在我看来,我有@html.passwordfor,它包含在一个@html.beginform. 当用户单击提交并将表单回发到控制器时,密码在 http 请求正文中以纯文本形式提供。

在将用户输入的密码securestring发送到控制器操作之前将其转换为类型的正确方法是什么checklogin

我认为这与securestring类型有关,因为我将密码(和用户名)传递给构造函数,该构造函数NetworkCredential具有允许securestring密码而不是纯文本密码的重载。

4

1 回答 1

4

html表单的设计方式;凭据在您和服务器之间以明文形式发送。没有加密数据的默认方法可以确保安全。您可以尝试使用一些 JavaScript 库在发送密码之前对其进行加密;但如果您担心有人截获密码;他们也将能够拦截您的加密算法。

确保密码和其他敏感信息(信用卡等)安全的常用方法是使用SSL. 这会加密客户端和服务器之间的整个连接;而且更安全。

于 2013-01-25T16:50:08.330 回答