asp.net www.example. com Forms身份验证-保护对我无效

bxgwgixi  于 2023-05-02  发布在  .NET
关注(0)|答案(2)|浏览(161)

在我的web.config文件中,我得到了以下内容:

<authentication mode="Forms">
   <forms name=".ASPXAUTH" protection="All" loginUrl="~/Account/Login.aspx" timeout="2880" />
</authentication>

但是当我用fiddler登录并观看流量时,我仍然可以看到明文的密码。我不知道怎么了。
致上,
无光泽

pkbketx9

pkbketx91#

我只知道两个解决办法:
1.使用https。最好的解决方案,最安全。
1.在发送密码之前使用javascript库(sha1)对密码进行散列(并清除原始密码字段!)。也可以使用随机生成的salt,每次登录都不同,将salt存储在服务器上的隐藏字段中,这样您也可以检查salt(用户可能不会更改它)。

3npbholx

3npbholx2#

表单身份验证只解决了对应用程序中URL端点的访问,但它并没有解决数据如何传输到客户端和从客户端传输数据的问题--您通过Fiddler看到的是正常的HTTP流量。
通常情况下,至少所有主要网站的登录页面都是通过HTTPS完成的,因此您无法监视纯文本HTTP。

相关问题