安全的方式发送密码跨域

时间:2013-11-28 21:35:50

标签: jquery wcf security authentication cross-domain

我正在尝试在多个网站上实现相同的客户端登录系统,所有网站都向同一服务器(.Net WCF)发送跨域请求。

我们的想法是在每个网站上提供相同的JavaScript。

无论如何,POST请求不起作用,所以我发送GET请求。但随后所有参数都在每个人都可以使用的网址中。即使使用https,仍然可以查看网址。

不幸的是,使用代理是不可能的,所以我确定还有什么可做的。

您是否知道如何更安全地发送密码?

提前致谢。

1 个答案:

答案 0 :(得分:0)

能够POST跨域并阅读实施CORS所需的响应。

您的服务器端代码应检查HTTP请求中的Origin标头,以检查协议和域是否是您的某个网站,如果是,则需要返回

Access-Control-Allow-Origin: <origin>Access-Control-Allow-Credentials: true

作为响应中的HTTP标头。这将允许您的脚本读取来自其他域的响应。然后,如果需要,您应该能够read the cookie in the response header,或者如果从远程域检索到所有会话信息,那么您可以简单地发出其他AJAX请求来检索所需的数据。