在我的web.config文件中,我得到了以下内容:
<authentication mode="Forms"> <forms name=".ASPXAUTH" protection="All" loginUrl="~/Account/Login.aspx" timeout="2880" /> </authentication>
但是当我用fiddler登录并观看流量时,我仍然可以看到明文的密码。我不知道怎么了。致上,无光泽
pkbketx91#
我只知道两个解决办法:1.使用https。最好的解决方案,最安全。1.在发送密码之前使用javascript库(sha1)对密码进行散列(并清除原始密码字段!)。也可以使用随机生成的salt,每次登录都不同,将salt存储在服务器上的隐藏字段中,这样您也可以检查salt(用户可能不会更改它)。
3npbholx2#
表单身份验证只解决了对应用程序中URL端点的访问,但它并没有解决数据如何传输到客户端和从客户端传输数据的问题--您通过Fiddler看到的是正常的HTTP流量。通常情况下,至少所有主要网站的登录页面都是通过HTTPS完成的,因此您无法监视纯文本HTTP。
2条答案
按热度按时间pkbketx91#
我只知道两个解决办法:
1.使用https。最好的解决方案,最安全。
1.在发送密码之前使用javascript库(sha1)对密码进行散列(并清除原始密码字段!)。也可以使用随机生成的salt,每次登录都不同,将salt存储在服务器上的隐藏字段中,这样您也可以检查salt(用户可能不会更改它)。
3npbholx2#
表单身份验证只解决了对应用程序中URL端点的访问,但它并没有解决数据如何传输到客户端和从客户端传输数据的问题--您通过Fiddler看到的是正常的HTTP流量。
通常情况下,至少所有主要网站的登录页面都是通过HTTPS完成的,因此您无法监视纯文本HTTP。