我正在开发一个网站,客户需要输入一个给定的“代码”才能访问网站。即当客户点击网站时,系统会提示他们输入一个非常简单的代码,让他们访问网站的其余部分。现在我不是一个优秀的程序员(我的技能仅限于HTML,CSS和JSP)。该网站只会被普通的“Joe Bloggs”访问(但当然,如果认为其他更多'技术娴熟'将无法访问该网站,那将是天真的 - 没有什么'敏感的'即使他们确实访问它,他们也会知道)。
我正在使用糟糕的CMS(TeamSite),并且到目前为止已经使用HTML和CSS构建了网站。什么是最简单的“安全”形式(我使用松散的术语),我可以实施以允许客户访问网站的其余部分?我假设我可以在JSP中执行一个糟糕的功能:
`if input = 'this' then take customer here`
但我意识到这很糟糕。现在该网站只能由几百人访问,因为它只是一个试验计划。如果要变得“更大”,我们当然会看一些更强大的(在安全性方面),但我需要一个临时解决方案。我当然可以将JS包含在<head>文件中并且我意识到这非常愚蠢但是再一次,这个网站不适合精通技术的用户...我只是想能够隐藏“代码” “从你的日常用户,根据我上面所说的用户来看,查看源代码将能够访问代码......
我会提前感谢您的想法和感谢。
答案 0 :(得分:1)
嗯,如果你想用javascript / html / css实现任何东西,那么任何人都可以阅读它。
我建议使用.htaccess文件,这里甚至还有一个漂亮的生成器:http://tools.dynamicdrive.com/password/
然而,PHP将是一个明显的选择......
答案 1 :(得分:1)
我会使用像这种伪代码的方案。让hash成为一些加密哈希函数。假设'0123456789abcdef'是您所选密码的哈希值。
if ('0123456789abcdef' == hash(hash(input))) {
HttpRedirect(hash(input) + '.html')
}
这要求您将目标文件命名为密码的哈希值,但这是在没有对Web服务器的更多控制的情况下可以做到的最佳目的。
答案 2 :(得分:0)
如果您正在寻找一个简单的解决方案,我会看看Basic authentication。您需要在Web服务器级别对其进行配置,但它是一种快速简便的基本安全解决方案。
答案 3 :(得分:0)
这真的很穷。如果你没有其他选择,你可以这样做。我至少建议链接到外部JS文件。这样,至少您的身份验证机制无法在页面源中直接查看。对于purelys javascript,HTML实现可能是您最好的结果。将某种类型的数据库与HTTPS相关联是非常值得的。
答案 4 :(得分:0)
如果JavaScript由浏览器执行,则用户可以使用该JavaScript来查看它。故事结局。您现在可以打开Gmail并查看他们使用的每一个JS。 JavaScript在用户的计算机上运行未完成,就在那里。地狱,如果你在Firefox中查看源代码,脚本标签就像超链接一样可以点击。他们将在View Source窗口中加载脚本!
仅阻止非实际用户访问密码的解决方法是将所有登录逻辑放在单独的JS文件(“login.js”或其他东西)中,然后您的模板有一个JS语句,如: / p>
document.write("<script type='text/javascript' src='login.js'></script>")
至少这样,如果用户执行“查看源代码”,用户将看不到登录代码,他们只会看到上面的行。一个开发人员会知道将“login.js”放在地址栏中,看看会发生什么,但是只看f ***周围的菜鸟可能会错过它。