我想让用户登录http页面而不将其重定向到https。这样,用户就不会在他们正在查看的页面上松散状态。
当用户点击需要登录的内容时,会在页面上弹出模态登录表单,询问详细信息。然后他们可以使用ajax登录,模态形式消失,状态不会丢失。但是这不安全,密码是通过纯文本发送的。
我可以使用postMessage将用户名/密码发送到隐藏的iframe,并使用https加载位置。然后,它会安全地发送登录请求,并将成功/错误发送回主页。
此方案是否缺少任何安全注意事项。
特别是男人在中间。我是否正确地认为http javascript可以在中间使用man代替,这可以用来捕获密码并在它到达https iframe之前发送到其他地方?
答案 0 :(得分:0)
如果你正在考虑一个中间人攻击者,你必须只使用https。其他所有内容都是不安全的,因为攻击者可以将所有指向https资源的链接重写为常规https
或者,如果您的页面不允许该特定资源使用http,则攻击者可以简单地运行代理接受来自客户端的http,并在将其发送到服务器时将其更改为https。
即使没有中间人攻击,攻击者也可以FireSheep或DroidSheep的方式“窃取”经过身份验证的会话(通常是Cookie)。在这种情况下,密码是安全的,但是攻击者仍然可以在您的网页上做所有被攻击的不同用户身份验证的内容。