2

我如何拥有一个基本的 javascript 注册表单,它将用户填写的密码发送到安全的axis2 Web 服务(它将密码的加盐哈希存储在数据库中)。

Mu 的问题是 - 当用户输入纯文本密码并在服务器端进行哈希处理时,在将密码发送到服务器之前,是否有任何方法可以破解密码。

如何保护我的 javascript 客户端,您能否推荐一些库。

先感谢您

4

3 回答 3

5

密码以明文形式发送,并且可以通过中间人攻击(例如ARP 定位(其中与您或您的客户端位于同一子网的某人可以嗅探和操纵数据包)轻松嗅探/欺骗)。

获取SSL证书并为您的网站启用HTTPS (此处为 apache 的说明)。

有关为什么在客户端保护内容没有意义的更多详细信息,请参阅我的答案。基本上,除非有像 HTTPS 这样的基于证书的信任系统,否则攻击者总是可以通过动态修改密钥或从 javascript 中删除加密代码来欺骗您尝试的任何加密协议。

于 2013-04-29T08:04:32.513 回答
1

除非连接是 HTTPS,否则密码以明文形式发送。没有客户端代码可以帮助您。

于 2013-04-29T08:01:35.473 回答
0

如果你想保护客户端和服务器之间的数据传输不被窃听,有一个标准的解决方案:SSL

于 2013-04-29T08:01:28.197 回答