我如何拥有一个基本的javascript注册表单,该表单将用户填写的密码发送到安全的axis2 Web服务(将密码的盐渍哈希存储在数据库中)。
问题是 - 在用户输入明文密码并在服务器端进行哈希处理之前,密码在发送到服务器之前是否有任何破解方式。
如何保护我的javascript客户端,你能推荐一些库。
提前谢谢
答案 0 :(得分:5)
密码以明文形式发送,并且可以在ARP posioning之类的中间攻击中轻易地被人嗅探/欺骗(其中与您或您的客户端在同一子网上的人可以嗅探和操纵数据包)。< / p>
获取SSL证书并为您的网站启用HTTPS(apache here的说明)。
有关为什么在客户端没有必要保护内容的更多细节,请参阅我的回答here。基本上,除非像HTTPS那样存在基于证书的信任系统,否则攻击者总是可以通过动态修改密钥或从javascript中删除加密代码来欺骗您尝试的任何加密协议。
答案 1 :(得分:1)
除非连接在HTTPS中,否则密码 以纯文本格式发送。没有客户端代码可以帮助您。
答案 2 :(得分:0)
如果您想保护客户端和服务器之间的数据传输免受窃听者,那么就有一个标准的解决方案:SSL。