我有一个实际上不保存模型的表单,所以当我发布表单时,有电子邮件和密码,但不知何故我不想将我的密码暴露给其他人。我做了这个 config.filter_parameters 来过滤日志
但是当我发布并检查浏览器时,我的密码仍然有纯文本,我不想这样做。当我在浏览器中检查时,发送时是否有任何适当的方法来加密参数,每个人都会看到哈希或加密。
哦,我的意思是不使用 SSL 的方式>.<
问问题
627 次
1 回答
1
如果您不能使用 SSL,那么您就不会安全。
即使您在通过网络发送密码之前使用 JS 进行了私钥/公钥加密,您也不能相信您的加密 JS 代码在发送到客户端时没有受到损害。毕竟,你想加密是因为你担心网络漏洞。
当然,您可以在不安全的协议上使用 JS 加密来给人一种安全的假象。公平地说,在这种情况下破坏密码的攻击需要比简单的网络嗅探更复杂。
关于这个主题的一篇很棒的文章在这里: http: //www.matasano.com/articles/javascript-cryptography/
于 2013-03-25T10:41:25.973 回答