【发布时间】:2014-02-12 21:38:43
【问题描述】:
我使用的网络托管服务有一个用于登录域电子邮件的丑陋 UI,所以我只想在登录屏幕上放置一个薄界面。我的目标是让用户将他们的登录凭据提交到我的自定义表单上,然后将这些凭据转发到真正的登录页面并登录,而不向用户显示所有中间的喧嚣。
经过一些快速的谷歌搜索后,我找到了this,这看起来是一个很好的解决方案(已接受答案的 javascript 部分)。但是,我不确定这种方法是否安全?我只是从 html/css 表单中获取用户数据并将其转发到另一个 URL 上的表单。这有多安全?
【问题讨论】:
-
如果使用 location.hash 或 postMessage(),则非常安全,但如果使用 GET 参数或 cookie,则非常不安全。
-
你明白很多中间人攻击是这样工作的吧?他们模拟原始登录页面(如银行网站),然后将凭据传递给网站本身,并一路窃取它们。真是个坏主意。为什么不找一个更好的电子邮件提供商? gmail很便宜。
-
哇,我没想到会这么快产生这么大的吸引力。 @ChrisLively 我正在为一家“假”公司(学校项目)制作一个网站,而我们使用的网络托管服务有一个非常丑陋的电子邮件界面。我打算用它作为学习javascript的练习,但从反应来看,这必须更安全地完成嗯......太糟糕了,因为这违背了薄界面的目的,只是为了掩盖网络托管的“丑陋”用户界面。哦,好的,谢谢。
标签: javascript security user-interface interface