我一直在考虑使用服务器上生成的一个很好的长随机字符密码来保护登录系统,并将其作为隐藏字段发送给客户端。然后我将使用该密码附加凭据并加密它。但后来我意识到,因为,我的追加方式将在javascript的代码中可见,它的解密将相当容易。那么,这种附加技术是否可以安全或SSL是唯一的选择呢?
答案 0 :(得分:2)
通过HTTP发送的任何内容都是可见的,可以被拦截。至少对登录页面使用HTTPS。
答案 1 :(得分:0)
看一下在MVC中实现AntiForgeryToken的方式。这是一个很好的链接,可以帮助你弄清楚你需要做什么,并给你一些想法。
答案 2 :(得分:0)
如果你想最大限度地减少中间“坏人”的影响,SSL是最好的方法。当有成熟的方法(SSL)时,为什么需要重新发明轮子?