0

我有一个只对我们的用户锁定的公司 Intranet。一位老板要求通过我们的内部网,您必须能够单击自己进入我们的其他 Web 服务之一。我已经通过使用这个“解决”了这个问题:

<script type="text/javascript">
  function autoClick () {
    document.forms["PM"].submit();
  }
window.onload = autoClick;
</script> 
<form id='PM' action='https://ourwebapp.corporate.com/login' method='post'>
       <label for='username'></label>
        <input id='username' type='hidden','text' name='username' value='serviceaccountusername'/>
        <label for='password'></label>
        <input id='password' type='hidden','password' name='password' value='Serviceaccountpassword'/> 
        <input type='hidden','submit' value='Log in' />
    </form>

单击时,这会将用户直接发送到其他 Web 服务。我知道这是一个丑陋的黑客,绝对不应该这样做。但是,我觉得我别无选择。任何。

我仍然想加密密码,以防任何恶意用户查看代码并以纯文本形式获取服务帐户密码。

该网站目前支持 java 脚本和 HTML。我想java脚本是这里选择的代码,我将如何完成这个?任何提示或解决方案?

4

1 回答 1

1

一如既往,最好的方法是使用 TLS。这将保护数据,包括传输中的密码。如果服务器不支持,您可以设置 SSL 代理,可能使用自签名证书。

如果没有 TLS,您将无法完全防御攻击,因为任何页面(包括 JavaScript)都可能被攻击者拦截和更改。

于 2013-05-30T19:06:05.213 回答