我正在尝试一些小想法,而且我遇到了麻烦。
此时,当用户登录时,他们的密码存储在稍后处理的变量中。显然,获取密码所需要做的就是进入开发人员工具或控制台或其他任何内容并添加alert(pass.value);之类的语句。
我知道这不切实际,但它一直困扰着我。有没有办法检测警报声明并以某种方式加密密码?正则表达式或字符串替换?
谢谢!
答案 0 :(得分:6)
如果您想拥有安全的系统,请不要在客户端存储密码。如果JavaScript存储在JavaScript变量中,那么您在JavaScript中绝对无法阻止某人访问密码。
您应该在服务器端处理所有身份验证。如果要在某处存储密码,请不要以纯文本格式存储密码,也不要使用自制加密方法。密码学充满了雷区,并且很容易出错,我建议使用像bcrypt这样经过深思熟虑的系统。
答案 1 :(得分:0)
我建议不要在客户端保留任何类型的凭据信息。一个易于实现的可行解决方案是安全令牌密码。一个简单的过程如下所示: