我有一个专门用于内部网络的Web应用程序。这有多糟糕?在javascript中存储密码
当用户登录(使用标准的POST,asp.net,HTTPS)时,我需要存储用户名和密码,并稍后在一个特定页面上使用它。 (为了访问和ActiveX控件)
这个明显的问题是,当你去那个页面上的“查看源代码”,你可以看到用户名和密码。我认为没有办法可以避免这种情况。
我的问题是:一旦用户注销... IE7或IE8存储整个页面信息?如果是这样,我怎么看? (以验证用户名和密码是否容易找到)
如果整个页面内容没有被缓存/存储在历史....然后在JavaScript中使用用户名/密码不是那么大的安全膛作为用户必须已经登录才能获取数据。我对吗?
在此先感谢您的想法/意见!
安德鲁
阐述: 我要创建一个ActiveX对象,...然后连接到它在JavaScript ...我的密码储存在同一个会议......但我需要把它们在以JavaScript来连接到控制:即
myactivexcontrol.credentials.username = "username";
myactivexcontrol.credentials.password = "password";
myactivexcontrol.connect();
的用户名和密码登录到Web应用程序一致...
它toooo坏我猜...为什么不使用会话? – 2011-06-01 18:05:10
这种做法会使XSS或CSRF攻击的后果非常严重。在用户注销网站后忘记浏览器中的内容 - 当浏览器仍在使用它时,有什么可怕的是什么? – Pointy 2011-06-01 18:09:56
请参阅详细说明 – Andrew 2011-06-01 18:19:06