以下是我们的网页流量,通过https安全将javascript密码从服务器传递到浏览器?
- 用户是通过HTTPS登录页面访问。
- 用户输入密码并提交页面(POST方法)。
- 用户凭证现在不通过身份验证,而是通过一些轮询页面(https)进行服务器响应。
- 为了保留轮询页面上的密码,密码通过JavaScript变量和轮询页面的onsubmit从服务器传递到浏览器,密码通过POST方法传递。现在服务器验证用户凭证。
问题: 是通过https安全地将密码从服务器传递到浏览器的javascript变量?
我的意见
- 的 浏览器和服务器之间的整个事务是通过HTTPS和 密码是通过POST方法传递的 - 这样的密码是安全的。
- 的密码是通过“视图 页面源代码”可见,因为它被分配到 一个javascript变量 - 如果 浏览器插件可以访问 页面内容并不安全。但是,如果浏览器插件 可以访问页面内容,那么当用户输入密码时,它甚至可以访问密码,因此该流程不会引入新的 威胁。
注
- 我知道他们是更好的方式来处理这个 流。但我对 感兴趣,无论我们现有的流量是否安全 或不。
- 对安全提示的任何参考将对您有所帮助。
为什么你需要将密码发送回浏览器? – 2011-03-19 21:11:45
考虑AJAX,页面不必重新加载,密码也不必在源代码中打印。 – Pablo 2011-03-19 21:17:37
@Jared因为在这个流程中授权在第二步发生,即在提交了轮询页面之后。其实我建议改善目前流向我的团队。但由于没有安全威胁,他们正在推迟。所以我发布了这个问题,以确保这个流程没有安全威胁。 – Barath 2011-03-19 21:27:04