如何在使用java-script登录管理面板时使用magento的密码加密功能,以便没有人能在不同浏览器的HTTP头中看到真实密码?
答案 0 :(得分:2)
你不能这样做。
通常,对网络会话的攻击包括主动/中间人攻击。这意味着即使您在浏览器中向JavaScript发送了密钥或公钥,该密钥也可能被攻击者替换。因此,您在JavaScript中可以实现的最好的事情是混淆。
缺少的是信任框架(目前无论如何,有几个加密API正在开发中)。由于JavaScript无法使用浏览器的证书,因此没有好的方法可以与Web服务器建立信任。所以最后你无法验证另一方。
这就是TLS对任何基于浏览器的安全性的严格要求; TLS可以使用与Web浏览器一起存储的证书,因此可以知道您正在与哪个服务器通信。 TLS中数据的加密和认证允许在HTTPS中以HTTP级别发送密码。