有一个用于登录服务器的JSP脚本。目前通过HTTP Header接受用户凭证,并且login.jsp文件的设计使得一旦用户提供凭证,用户就会被重定向到redirectURL,这是一个包含查询字符串中的用户名和密码的完全限定URL,因此用户能够访问他想要的页面,但问题是密码在浏览器地址栏中可见。
那么,我可以通过哪些方式在网址中隐藏用户密码。
答案 0 :(得分:3)
其他人建议使用POST,这是正确的方法。但这还不足以保证中间人无法看到密码。为了防止您在服务器上启用TLS(SSL)并通过https
答案 1 :(得分:2)
您可以在请求中使用http POST参数而不是GET参数。它们将不再在URL地址栏中可见。
答案 2 :(得分:2)
我不了解JSP,但您应该使用POST request
答案 3 :(得分:1)
除了上面关于使用POST参数的建议之外,如果我是你,我可能会重新考虑你的密码管理是如何完成的,因为你不需要将纯文本密码从一个页面传递到另一个页面。申请。
即使您需要将密码从一个页面传递到另一个页面,您应该考虑散列密码然后传递散列然后让页面验证散列是否有效 - 因为希望您的数据库将具有散列其中的值
注意:如果您在数据库中以明文形式存储密码,那就是肯定禁止的东西