if (jsonresponse == 'SESSION_ALREADY_LOGGED_IN' || jsonresponse == 'USER_ALREADY_LOGGED_IN'){
window.location.replace("${pageContext.request.contextPath}/TrialUser.jsp?rsUsername=" +
getURLParameter("rsUsername") + "&rsPassword" + getURLParameter("rsPassword") + "&rsUse=" +
getURLParameter("rsUse") +"&HOOK_URL=" + getURLParameter("HOOK_URL"));
}
为什么你在获取请求时发送用户名和密码,它应该总是在发布请求。
在情况下,如果你要做到这一点,至少通过JavaScript加密密码或用户详细资料发送它
window.location.href = "index.php?Id=" + encrypt(5)+ "&No=" +encrypt(5);
我强烈recement不这样做
简单之前对它进行加密和在请求头中的“认证”送它,你可以在使用一个简单的HTTP基与用户名/密码的Base64,或使用承载和JWT(Ĵ AVA W¯¯ EB Ť奥肯)与令牌,散列和至少256位使其更加复杂。
如果您正在使用MD5那么你应该知道它是在1991年破裂以及超过25年没有以安全考虑。
似乎整体架构设计应该改变登录功能。重新思考你希望如何实现这个过程可能是一个好主意。
此外,为什么发送用户名/密码作为GET参数?通常还会在各种Web服务器/应用程序服务器中记录GET请求,这会造成安全风险。在执行登录序列时使用POST。
如果应该使用GET,请查看有关识别可能性的其他解决方案。
请为您正在使用的代码片段添加业务逻辑?您究竟在做什么,为什么? –
在请求标题中添加凭证! –