注册
登录
天网安防
使用Ajax登录系统的安全性
返回
使用Ajax登录系统的安全性
作者:
❀⚘粉༵红༵回༵忆༵⚘❀
发布时间:
2024-10-05 12:02:56 (15小时前)
转自:
<div class =“excerpt”> 我已经制作了登录信息 <span class =“result-highlight”> 系统 </跨度> 它使用基本的ajax请求和一些反馈,并且运行良好(代码位于底部)。 除了我将要放入的哈希和盐渍密码(所以 不要挂在那里),什么是 <span class =“result-highlight”> 安全 </跨度> 使用Ajax / jQuery处理这些请求的含义:最重要的是: 当涉及到JS依赖于 时,一般的观点是什么? </DIV>
收藏
举报
4 条回复
0#
回复此人
特狼普
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 我发现最好的密码安全方法是php的内部方法,当然使用php进行登录时。 </p> <P> <a href="http://php.net/manual/en/function.password-hash.php" rel="nofollow"> http://php.net/manual/en/function.password-hash.php </A> </p> <P> password_hash(“rasmuslerdorf”,PASSWORD_DEFAULT); </p> <P> password_verify('rasmuslerdorf',$ hash); </p> <P> 它将盐存储在您的数据库中,并为您进行所有轮次检查。 </p> <P> 经过几个小时的阅读加密后,我花了很长时间才找到这种方法。安全性不仅可靠,而且使用起来非常简单。 </p> <P> 我建议你通过邮件发送信息,然后使用它。另外在往返中,如果你没有往返,有人可以跳过你的javascript哈希并使用纯哈希登录。这样,如果他们尝试使用哈希,它将重新哈希它并将其作为错误的pw返回,这就是它。 </p> </DIV>
编辑
1#
回复此人
丫头
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <BLOCKQUOTE> <P> 当JS依赖于此时,一般视图是什么? 反对纯PHP - 人们是否裁员,是否合法 简单地说这是一个只有JS的网站(该网站的数量很大 基于Twitter的bootstrap,所以它有点依赖于JS)。 </p> <P> 我的PHP和JS是否以正确的方式连接? (我的饼干还能用吗?) </p> </BLOCKQUOTE> <P> 很难说有多少人今天使用互联网禁用javascript,但你的javascript不应该是阻碍,你的网站应该仍然可以使用javascript禁用。做起来并不难。而不是使用 <code> .click() </code> 对于你的AJAX查询,你应该使用 <code> .submit() </code> 一,并将其绑定到您的表单。这样你仍然可以通过PHP处理表单。 </p> <P> 而且这也是最好的做法之一 <code> .click() </code> 提交按钮上的事件,否则我无法按Enter键提交表单。 </p> <P> 然后在您的PHP中,您将能够通过检查来了解是否已经从jQuery发送了请求 <code> $_SERVER['X-Requested-With'] </code> 。 </p> <P> 然后你可以有两种不同的行为: </p> <pre> <code> if ( isset( $_SERVER['X-Requested-With'] ) ) { // comes from jQuery } else { // basic submit } </code> </pre> <P> 我认为这大致是你应该如何界面你的应用程序。 </p> <BLOCKQUOTE> <P> 我怎样才能创建一种安全的方式来使用jQuery .load()来引入我的 成功登录后的内容? </p> </BLOCKQUOTE> <P> 您可以从PHP返回true或false。或者,如果您需要重新显示某些数据,则可以传递json对象。假设您有一组要传回的数据 </p> <P> PHP </p> <pre> <code> if ( isset( $_SERVER['X-Requested-With'] ) ) { $data = array('success' => true , 'username' => $username ); return json_encode( $data ); } </code> </pre> <BLOCKQUOTE> <P> 关于使我的系统安全的任何一般建议? </p> </BLOCKQUOTE> <P> 您通过POST(通过AJAX)发送数据,这不比以正常方式发布数据安全。 </p> </DIV>
编辑
2#
回复此人
真不错
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 您使用JS作为与服务器交互的另一种方式,而不是常规浏览。因此它的安全性不会低于您要求的任何其他页面。 </p> <P> 如果您将登录信用证发布到PHP页面以检查登录,请像存储常规请求(可能是会话)一样存储信息。现在,每次使用AJAX从服务器请求数据时,请在发送回数据之前再次检查服务器端的会话。如果未经授权,只需返回错误。在JS中,您现在可以检查响应并基于此采取操作。 </p> <P> 我建议使其安全,就像开发常规浏览器一样,开发每一页。如果你能做到这一点,使用AJAX时也是安全的。 </p> <P> 作为非安全建议。除非你愿意牺牲一些访客(旧手机,平板电脑或只是js禁用的浏览器),否则不要制作仅限javascript的网站。 </p> </DIV>
编辑
登录
后才能参与评论
