我有一个HTML5,AngularJS应用程序,我在其中根据Windows身份验证对用户进行身份验证。这很好。
我在应用程序中有一个连接选项,允许用户连接到其他一些数据源。连接我提示用户输入用户名&密码,发送到服务进行身份验证。我使用AngularJS $ http来调用服务并将凭据作为post参数传递。
问题是我能够使用fiddler以明文形式查看凭据。我切换到HTTPS / SSL,但它仍然在fiddler中可见。以下是我的观察和查询
HTTPS / SSL仅确保传输级别的安全性,我想知道如果传输级别安全性已经到位(使用HTTPS),我是否应该为Web应用程序中的消息级别安全性而烦恼。
如何确保JavaScript / Angular中的消息级安全性。
有趣的是,我也使用了fiddler和gmail以及hotmail。当我在这些网站上输入凭据时,fiddler不会捕获它。不知道这些网站是如何发生的?他们必须发送身份验证凭据。
Atul Sureka