【发布时间】:2011-08-18 16:27:43
【问题描述】:
防止标准 ASP.NET 表单在 onsubmit 事件中提交某些字段的最佳方法是什么?具体来说,我有一个注册页面,我首先在其中验证字段 (RequiredFieldValidator),然后提交表单。但是,我只想从隐藏字段提交密码哈希,而没有实际的纯文本密码字段。
我可以在提交之前覆盖默认的 onsubmit 函数以使字段无效,但是我将无法验证密码。处理这种情况的最佳方法是什么?
我在 ASP.NET 3.5 上使用 C# 编写代码。
谢谢。
【问题讨论】:
-
这是个坏主意。您应该始终在服务器上散列密码。
-
我在注册过程中用盐对密码进行哈希处理,然后将哈希存储在服务器上。这是一种错误的做法吗?
-
您在客户端上散列密码的目的是什么?如果是出于安全考虑,我建议使用 HTTPS 并完成它
-
启用 SSL 时,密码以纯文本形式发送。当它被禁用时(并非所有托管环境都支持它),它作为散列发送。
-
@Jon 哦,好吧,我明白了。在这种情况下,使某些东西安全是有意义的。我不相信只用 javascript 就可以协商 100% 的安全连接。散列应该使攻击变得更加困难