Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我现在在一个网站上工作,我已经对登录框进行了编码以登录到另一个页面(例如 www.domain.com 上的登录框以登录到 subdomain.domain.com)
子域使用 HTTPS,而目前域没有。
我的问题是,我应该对密码进行哈希处理并将其发送到子域以避免使用纯文本,还是应该在使用 POST 请求时要求域也使用 HTTPS?
散列密码客户端并不能阻止攻击者嗅探“你发送到服务器的东西”并复制它。不要那样做。
使用 SSL 加密客户端和服务器之间的通信。做这个。
在不使用 SSL 的情况下向用户提供表单会使其容易受到中间人攻击(例如,可以添加 JavaScript,在输入密码时和在安全提交表单之前窃取密码)。不要那样做。
当人们想要登录时,请先将他们重定向到安全站点,然后再要求他们输入凭据。