脚本宝典收集整理的这篇文章主要介绍了php – 安全弹出登录可能吗?,脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
我注意到,为了使登录真正安全,表单操作应该指向https页面,但登录表单本身应该在https页面上.
有没有办法让弹出式登录表单安全无需整个网站https?
>攻击者可以拦截该页面并用自己的链接替换该链接.
>这可以防止用户检查它所连接的站点.
第一个问题与this question有关(不是特定于AJAX弹出窗口,而是通过普通HTTP登录页面,also discussed on Security.SE).这与this OWASP recommendation相反:
从本质上讲,MITM可以修改您用来服务该登录框的页面以用它们自己替换它:用户将无法注意到差异(至少在它为时已晚).
第二个问题是,看到你已经连接(并且还要连接下一步)到地址栏中你想要的网站,这实际上是一件好事.任何人都可以拥有有效的https://站点:mybank.example.COM和attackers.example.com都可以拥有受信任机构颁发的有效证书.
如果我连接到我的银行,我想知道我的银行是通过HTTPS连接的.从弹出窗口或iframe向https://站点发送凭据会隐藏真实的目标网站.
当初始页面通过HTTPS提供时,也会发生此问题,不幸的是3-D Secure system(这些人应该知道更好,真的!).
以上是脚本宝典为你收集整理的php – 安全弹出登录可能吗?全部内容,希望文章能够帮你解决php – 安全弹出登录可能吗?所遇到的问题。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。