ASP.net 表单身份验证 - 保护对我不起作用

问题描述 投票:0回答:2

在我的 web.config 文件中,我有以下内容:

但是当我用fiddler登录看流量的时候,还是可以看到明文的密码。我不知道怎么了。

问候,

哑光

c# asp.net forms-authentication
2个回答
2
投票

我只知道两个解决方案:

  1. 使用 https。最佳解决方案,最安全。
  2. 在发送之前使用 javascript 库 (sha1) 对密码进行哈希处理(并清除原始密码字段!)。还使用每次登录都不同的随机生成的盐,将盐存储在服务器和隐藏字段中,因此您也可以检查盐(用户可能不会更改它)。
1
投票

Forms 身份验证仅解决对应用程序中 URL 端点的访问,但它不解决数据如何传输到客户端和从客户端传输的问题 - 您通过 Fiddler 看到的是正常的 HTTP 流量。

通常至少各大网站的登录页面都是通过HTTPS完成的,所以你无法窥探明文HTTP。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.