【发布时间】:2021-08-04 21:44:26
【问题描述】:
我是 JavaScript 和 Web 开发的新手,我只是想知道在 JavaScript 文件中定义预定义的用户名和密码是否安全。
您显然可以阅读 HTML,但如果我在代码中预定义密码,我的密码会暴露吗?
提前致谢。
【问题讨论】:
标签: javascript html passwords web-development-server
【发布时间】:2021-08-04 21:44:26
【问题描述】:
我是 JavaScript 和 Web 开发的新手,我只是想知道在 JavaScript 文件中定义预定义的用户名和密码是否安全。
您显然可以阅读 HTML,但如果我在代码中预定义密码,我的密码会暴露吗?
提前致谢。
不,这不安全。服务器发送给客户端的 JavaScript 文件(通常)与 HTML 源文件一样可以被相关方拦截和读取。通常,只需打开网络选项卡,查找 .js 请求,然后单击它们以查看响应负载是什么。
如果你想为某事要求密码,设置一个服务器,并且只在服务器上进行验证,而不向客户端发送任何敏感信息。
在服务器上,虽然将密码硬写入代码理论上是安全的,但它仍然存在问题,因为读取源代码的人可以立即访问密码,这可能是不可取的 - 而源代码可以也会被泄露。您可能不希望代码中的密码永远保存在 Git 提交历史中。
最好在服务器上建立一个数据库并将散列密码保存在数据库中。有时存储密码的另一个地方是环境变量。
【讨论】:
-
感谢您的回答。我想避免创建数据库,因为我知道只有一个人可以登录。我将研究服务器端验证。