我使用以下代码嵌入一个网址。一切正常,但有安全问题的用户凭据。有没有办法从代码中掩盖或隐藏用户名和密码
</head>
<body >
<iframe src="<?php echo($url) ?> " width="100%" height="500px"></iframe>
</body>
</html>
<?php
}
else
{
header('Location: index.php');
}
}
else
{
header('Location: index.php');
}
?>
答案 0 :(得分:0)
如果您尝试将用户凭据作为请求URL的一部分移交,确实存在一般安全问题。这被认为是糟糕的风格,例如它也意味着它们出现在所有服务器和代理日志文件中,这是一个众所周知的攻击场景......
这些凭据不应在客户端处显示,因为这意味着它们不受您的控制。相反,您可以尝试通过服务器代理潜在的iframe内容。所以iframe请求会转到您的服务器,没有任何凭据。在服务器端,您拥有所有必需的信息,它仍然在您的控制之下,无法供客户端访问。您可以使用它在后台向最终URL发出请求,并将响应转发给请求客户端,该客户端将在iframe中将其可视化。这也可以解决您遇到的交叉问题。
代理设置取决于您实际想要做什么:如果要代理的最终目标URL是静态的,那么您可以使用http服务器本身提供的功能设置代理指令。这是强大而有效的。如果最终的URL是动态的,那么您需要使用基于脚本的代理方法,因此通常需要执行该部分的另一个PHP脚本。