有一个用于登录服务器的 JSP 脚本。目前,通过 HTTP 标头接受用户凭据,并且 login.jsp 文件的设计方式是,一旦用户提供凭据,用户就会被重定向到 redirectURL,这是一个在查询字符串中包含用户名和密码的完全限定 URL,因此用户能够访问他想要的页面,但问题是密码在浏览器地址栏中可见。
那么,我可以通过哪些方式将用户密码隐藏在 url 中。
【问题讨论】:
标签: security jsp url servlets http-headers
其他人建议使用POST,这是正确的方法。但仅仅保证中间人看不到密码是不够的。为了防止您应该在您的服务器上启用 TLS (SSL) 并通过 https 提供页面
【讨论】:
您可以在请求中使用 http POST 参数而不是 GET 参数。它们将不再显示在 URL 地址栏中。
【讨论】:
我不了解 JSP,但您应该适当地使用 POST request
【讨论】:
除了上述关于使用 POST 参数的建议之外,如果我是你,我可能会重新考虑你的密码管理是如何进行的,因为你不应该需要以纯文本形式将密码从一个页面传递到另一个页面完全应用。
即使您需要将密码从一个页面传递到另一个页面,您也应该考虑对密码进行散列处理,然后传递散列值,然后让页面验证散列值是否有效——因为希望您的数据库具有散列值他们的价值观
注意:如果您将密码以纯文本形式存储在数据库中,那也是绝对禁止的
【讨论】: