作者StephenCurry ( )
看板Ajax
标题[问题] basic authentication 问题
时间Sun Aug 31 20:26:08 2014
最近在实作登入後转页的功能,
由於 web server 是用 basic auth, 想伪装成 form-based 的流程.
但是遇到一个比较棘手的问题,
认证成功後, 要转页到需要登入的页面, 这个时候会在 url 前面带入帐号密码,
http://username:[email protected]
但是 username/password 出现在 url 上面实在很不安全, 不晓得各位有什麽建议?
目前想到的是转页的时候, 把 header 改掉, 但是 js 似乎没有这个权限.
location.href or window.open 目前看起来都是不支援修改 header..
事实上目前似乎只有 ajax 可以动态调整 header..
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.32.219.217
※ 文章网址: http://webptt.com/cn.aspx?n=bbs/Ajax/M.1409487971.A.B07.html
1F:推 up9cloud: 你要安全,应该是後端webserver前加一层专门rewrite 09/01 05:39
2F:推 alog: 如果你是要遮网址就用iframe处理就好 09/02 05:45
3F:推 alog: 基本上http是明文传输 所以对於私密资料上,无论如何都不是 09/02 05:46
4F:→ alog: 安全的 09/02 05:46
5F:→ alog: 唯一可加强的是用aes配合有时效性的加密来处理 09/02 05:47
6F:→ alog: 不过这要自干的东西更多 09/02 05:48