首页 / PHP / php – 安全弹出登录可能吗?
php – 安全弹出登录可能吗?
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了php – 安全弹出登录可能吗?,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1472字,纯文字阅读大概需要3分钟。
内容图文
![php – 安全弹出登录可能吗?](/upload/InfoBanner/zyjiaocheng/802/040482ef572a49eda264aadd63078edd.jpg)
我有一个隐藏在每个页面上的登录表单,并在需要时显示自己onClick而不是设置新的页面请求.
我注意到,为了使登录真正安全,表单操作应该指向https页面,但登录表单本身应该在https页面上.
有没有办法让弹出式登录表单安全无需整个网站https?
解决方法:
在http://页面上使用(理论上)https://的AJAX弹出窗口(或iframe)会出现两个问题:
>攻击者可以拦截该页面并用自己的链接替换该链接.
>这可以防止用户检查它所连接的站点.
第一个问题与this question有关(不是特定于AJAX弹出窗口,而是通过普通HTTP登录页面,also discussed on Security.SE).这与this OWASP recommendation相反:
The login page and all subsequent authenticated pages must be
exclusively accessed over TLS. The initial login page, referred to as
the “login landing page”, must be served over TLS. Failure to utilize
TLS for the login landing page allows an attacker to modify the login
form action, causing the user’s credentials to be posted to an
arbitrary location.
从本质上讲,MITM可以修改您用来服务该登录框的页面以用它们自己替换它:用户将无法注意到差异(至少在它为时已晚).
第二个问题是,看到你已经连接(并且还要连接下一步)到地址栏中你想要的网站,这实际上是一件好事.任何人都可以拥有有效的https://站点:mybank.example.com和attackers.example.com都可以拥有受信任机构颁发的有效证书.
如果我连接到我的银行,我想知道我的银行是通过HTTPS连接的.从弹出窗口或iframe向https://站点发送凭据会隐藏真实的目标网站.
当初始页面通过HTTPS提供时,也会发生此问题,不幸的是3-D Secure system(这些人应该知道更好,真的!).
简而言之,不要使用iframe或弹出窗口,并且通过HTTPS提供登录表单的页面.
内容总结
以上是互联网集市为您收集整理的php – 安全弹出登录可能吗?全部内容,希望文章能够帮你解决php – 安全弹出登录可能吗?所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。