我有一个企业内部网,只能锁定我们的用户。老板要求通过我们的内部网,您必须能够点击自己的其他Web服务。我用这个“解决”了这个问题:
<script type="text/javascript">
function autoClick () {
document.forms["PM"].submit();
}
window.onload = autoClick;
</script>
<form id='PM' action='https://ourwebapp.corporate.com/login' method='post'>
<label for='username'></label>
<input id='username' type='hidden','text' name='username' value='serviceaccountusername'/>
<label for='password'></label>
<input id='password' type='hidden','password' name='password' value='Serviceaccountpassword'/>
<input type='hidden','submit' value='Log in' />
</form>
点击时,用户将用户直接发送到其他Web服务。我知道它是一个丑陋的黑客,绝对不应该这样做。但是,我觉得我别无选择。不管。
我仍然希望在任何恶意用户查看代码并以纯文本格式获取服务帐户密码时加密密码。
该网站目前支持java脚本和HTML。我想java脚本是这里的首选代码,我将如何实现这一目标?任何提示或解决方案?
答案 0 :(得分:1)
一如既往,最好的方法是使用TLS。这将保护数据,包括传输中的密码。如果服务器不支持此操作,则可以设置SSL代理,可能使用自签名证书。
如果没有TLS,您无法完全防范攻击,因为任何网页(包括JavaScript)都可能被攻击者截获并更改。