我能想到的唯一方法是浏览器是否有内置的,安全的,隔离的shell / scope,可以散列和发送数据(可以使用赞美服务器unhashing / lookup脚本进行验证)。
由于
修改
我认为在一个单独的窗口中某种形式的两步验证将是最接近的,但我没有SSL,我不喜欢随机“弹出”窗口的呈现
答案 0 :(得分:3)
如果我正确理解了您的问题,那么您要求提供一个证据,证明输入表单的数据既不会被恶意软件操纵也不会被恶意软件生成。但是您(作为服务器的运营商)无法控制客户端。
只要您无法控制客户端,这是不可能的,因为无法区分用户生成的数据与网络级别的软件生成数据,以及您在服务器上获得的所有数据。甚至浏览器扩展生成的输出也可以伪造。
我认为某种形式的两步认证将是最接近的
2FA仅与客户端的身份验证相关,并且无法使用户生成的数据防篡改。
安全握手的SSL替代方案?
SSL仅保护传输,并且不会阻止在恶意浏览器扩展或类似内容中修改用户输入。它也不能防止客户端计算机中间的恶意攻击者(即Superfish或类似的人)。