0

一旦我登录到我的网站(聊天室),该 URL 包含 uid=myusername&pass=mypass 并且它会无限期地停留在那里,并且永远不会消失,即使在聊天时也是如此。

客人能否嗅探我的地址栏中的内容,尤其是这是一个与许多其他用户的聊天室。客人可以使用任何工具或方法来窃取这些信息吗?如果客人想闻它,他会怎么做(一步一步)......我已经知道我应该将方法更改为帖子,但这也是我的研究论文,关于攻击者如何即使不在同一网络上,也可以找出用户的地址栏。如果可能,请帮助...

4

2 回答 2

0

是的。他们可以通过多种方式发现这些信息。如果聊天室支持发送图像或链接,他们可以向您发送他们控制的机器上的图像或页面的 URL。当您的浏览器请求该项目时,它会传递一个带有引荐来源网址的标头。在这种情况下,它将是页面的 URL 及其参数。

另一种方法是,如果他们有权访问您托管服务的服务器上的访问日志。他们通常可以看到其中的参数。

我确定可能还有其他人。

于 2013-04-04T03:00:50.197 回答
0

为什么不使用 history.replaceState 来更新 url 而无需重新加载页面?

window.history.replaceState(statedata, title, YOUR_URL_WITHOUT_LOGIN_INFO);

您可以在打开新窗口后文档准备好时调用此函数

于 2017-08-07T01:40:10.443 回答