5

A short answer - is there any security issues in sending e-mail + password through ajax to another page? :)

My thought is, that the information could maybe be grabbed in the sending, which may be a flaw compared to doing it "the conventional way" with just a form-action with a "link" to the login-action page.

Thanks in advance..

4

4 回答 4

4

如果您通过 POST 使用表单发送密码或通过 POST 发送 Ajax 请求,情况相同。您应该使用 SSL,然后对请求进行加密并保存。

但是您应该使用 POST 请求。不要通过 GET 发送密码,这不是最好的方法。

输入时提交 jQuery/AJAX 登录表单

于 2013-09-25T12:24:34.840 回答
2

您可以在将密码发送到任何地方之前将密码传输到客户端的哈希中,然后在服务器端进行哈希比较。

但是您在 Post 或 Get 请求方面也有同样的问题……如果您不使用 SSL,情况总是一样的,但是鉴于 NSA 的考验,即使这样似乎也不那么安全。

编辑 如果您转换密码哈希客户端并将其存储在隐藏字段中并将其发送以进行比较而不是发送密码,这可能是有意义的。然而,这带来了可以直接在客户端收集哈希的威胁。此外,这将是不好的,因为您还需要公开您的种子(无论如何您都应该使用)等。这是一种有缺陷的方法。

使用 SSL 并完成它。

但是,您可以使用基于 jQuery的http://www.jcryption.org来膨胀您的请求

于 2013-09-25T12:26:55.653 回答
2

您所指的“常规方式”与发布 AJAX 请求一样糟糕。通过 HTTPS 而不是 HTTP 发送可以为您提供更好的安全性(但怀疑论者会很快指出,通过 HTTPS 使用的一些加密方案很难解码)

于 2013-09-25T12:27:35.940 回答
1

不可以。
您需要在您的服务器上设置 SSL 并使用 HTTPS 连接才能更安全*。

于 2013-09-25T12:39:10.023 回答