chrome控制台显示带有摘要身份验证的密码

【问题标题】:chrome console show password with digest authenticationchrome控制台显示带有摘要身份验证的密码
【发布时间】:2014-10-26 22:23:55
【问题描述】:

我正在使用 Digest Authentication (CakePHP) 构建一个 API。我使用 jQuery 作为客户端及其“用户名 + 密码”选项字段。 虽然一切运行良好,但我注意到 Chrome 浏览器控制台的一个非常奇怪的行为。

在“标头”部分,请求 URL 以纯文本(从控制台粘贴)显示我的密码:Request URL : http://my_username:my_password@project_api.dev/groups/

我害怕!这是正常的吗?如果打开他们的控制台和嗅探请求,每个人都能看到我的密码吗?

我认为 Digest Authentification 相当安全,因为密码是用散列封装到“授权”标头中的“响应”键中的。我检查了 Safari 控制台和 Firefox 控制台,那里的请求 URL 中似乎没有显示...

每个人都知道为什么它会显示在 Chrome 浏览器中吗?安全不安全?

谢谢!

【问题讨论】:

  • 摘要式身份验证的全部目的是避免通过网络发送密码,因此无论您是否使用 https,这都毫无意义。这打败了整个事情。

标签: javascript google-chrome digest-authentication


【解决方案1】:

如果您使用协议https 它是安全的,因为您首先联系服务器以获取他的证书,然后每笔交易都将被加密并通过 URL 扩展。

但您必须为此使用httpsprotocol。您可以找到有关该协议的其他信息here

【讨论】:

  • 好的,谢谢!无论如何,它都会在 https 中进行一次生产。我只是想知道为什么 Chrome 会在请求 URL 中显示密码,而 Safari 和 Firefox 却没有……谢谢!
猜你喜欢
  • 2017-07-26
  • 1970-01-01
  • 2013-05-16
  • 2010-12-08
  • 2016-09-23
  • 2013-08-29
  • 1970-01-01
  • 2010-11-03
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode