一旦我登录我的网站(聊天室),该网址包含uid = myusername& pass = mypass,它会无限期地停留在那里,即使在聊天时也永远不会去。
访客可以嗅到我的地址栏中的内容,特别是这是一个与许多其他用户聊天的地方。 客人可以使用任何工具或方法来窃取此信息吗?如果客人想嗅它,他会怎么做(一步一步)...... 我已经知道我应该将方法更改为帖子,但这也适用于我的研究论文,即使不在同一网络上,攻击者如何找到用户的地址栏。 请尽可能帮助......
答案 0 :(得分:0)
是。他们可以通过几种方式发现这些信息。如果聊天室支持发送图像或链接,他们可以在他们控制的计算机上向您发送图像或页面的URL。当您的浏览器请求该项目时,它会传递带有引荐来源网址的标头。在这种情况下,它将是页面的URL及其参数。
另一种方法是,如果他们可以访问您托管服务的服务器上的访问日志。他们通常可以看到参数。
我确定可能还有其他人。
答案 1 :(得分:0)
为什么不使用history.replaceState更新网址而不重新加载页面?
window.history.replaceState(statedata, title, YOUR_URL_WITHOUT_LOGIN_INFO);
打开新窗口后,文档准备就绪后可以调用此功能