在我的QT应用程序中,我需要下载某些数据。此数据受保护,用户需要登录网站才能下载数据。为了允许用户登录,我使用QWebEngineView显示我们网站的登录页面。用户输入其凭据。这将生成用于身份验证所需的cookie。我将生成的cookie存储在QNetworkCookieJar中。然后,我创建一个QNetworkAccessManager,并将保存的QNetworkCookieJar添加到QNetworkAccessManager。然后,我使用QNetworkAccessManager下载数据。这一切都很好。但是,在我的项目的安全性审查中,有人担心登录页面在我的应用程序的控制之下,因此我可以获得用户凭据(例如,通过观看登录页面上的击键)。
所以我的问题是:这种安全风险是真的吗?我实际上可以获取用户凭据吗?如是。我必须使用哪些选项来对用户进行身份验证,并且仍然避免任何安全漏洞?
是的,在Qt应用程序中,您始终可以捕获发送到窗口小部件的任何击键。这同样适用于Google Chrome浏览器以及几乎所有的网络浏览器。用户在应用程序中输入数据,然后将数据传递到网络并通过电线传递到Web服务器。