登录必须是 https 页面

php开发问题 跟版网
Must logins be a https page(登录必须是 https 页面)
本文介绍了登录必须是 https 页面的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着跟版网的小编来一起学习吧!

问题描述

过去有几位安全专家说过,登录页面应该在 ssl https 上.那么如果我的登录是一个显示在所有页面上的块呢?这是否意味着我的整个网站都必须是 https?

Several security experts have said in the past that the login page should be on ssl https. So what if my login is a block that's displayed on all pages. Does that mean that my entire website has to be https?

我读到可以将表单放在 http 上,但将其发布到 https,但我读到有人说它可以被中间人利用.有人可以证实这一点吗?对于可以确认这一点的人,我有 100 分的悬赏(并帮助我提供如何安全解决此问题的实用答案).我的登录表单在每个页面上,我需要在 https 上创建整个网站吗?请随时质疑我在这里所说的任何内容.它们只是我读过的东西,但没有经验,也没有自己尝试过.

I read it's possible to put the form on http but post it to https, but I read someone saying that it can be exploited with a man in the middle attack. Can someone confirm this? I have a 100 point bounty for someone who can confirm this (and help me with a practical answer how to securely solve this). My login form is on every page, do I need to make the whole website on https? Please feel free to question anything I said here. They're only things I read but don't have experience with and didn't try it myself.

对于那些提出问题的人,当我发布问题时,我尝试设置赏金,但系统不让我.我查看了常见问题解答,发现可以在发布问题 2 天后发布赏金.这就是为什么你还没有看到赏金.但我不会选择答案,直到我在 2 天内设置赏金.很抱歉有任何混淆.

to those who asked, when I was posting the question, I tried setting the bounty but the system wouldn't let me. I checked the FAQ and saw that bounty can be posted after 2 days from posting the question. That's why you see no bounty yet. But I will not select an answer until I set a bounty in 2 days. Sorry for any confusion.

推荐答案

我读到可以将表单放在 http 上,但将其发布到 https,但我读到有人说它可以被中间人利用.有人可以确认吗?

I read it's possible to put the form on http but post it to https, but I read someone saying that it can be exploited with a man in the middle attack. Can someone confirm this?

是的.表单通过 HTTP 提供,因此中间人可以向其注入更改(例如,在表单提交之前将凭据发送到他们自己的服务器).

Yes. The form is served up over HTTP, so a man in the middle could inject changes to it (e.g. so it sends credentials to their own server before the form submits).

如何安全解决这个问题的实用答案

a practical answer how to securely solve this

如果安全真的很重要 - 对整个网站使用 HTTPS.即使在发送密码后,如果您返回 HTTP,则 cookie 可能会被盗(参见 Firesheep)

If security really matters — use HTTPS for the entire site. Even after the password has been sent, if you go back to HTTP then the cookie can be stolen (see Firesheep)

如果安全性不是那么重要,那么不要在每个页面上都放置登录表单.只需提供一个指向登录页面的链接即可.

If security doesn't matter that much, then don't put the login form on every page. Just have a link to a login page instead.

这篇关于登录必须是 https 页面的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持跟版网!

本站部分内容来源互联网,如果有图片或者内容侵犯了您的权益,请联系我们,我们会在确认后第一时间进行删除!

相关文档推荐

PHP实现DeepL翻译API调用
DeepL的翻译效果还是很强大的,如果我们要用php实现DeepL翻译调用,该怎么办呢?以下是代码示例,希望能够帮到需要的朋友。 在这里需要注意,这个DeepL的账户和api申请比较难,不支持中国大陆申请,需要拥有香港或者海外信用卡才行,没账号的话,目前某宝可以
PHP通过phpspreadsheet导入Excel日期数据处理方法
PHP通过phpspreadsheet导入Excel日期,导入系统后,全部变为了4开头的几位数字,这是为什么呢?原因很简单,将Excel的时间设置问文本,我们就能看到该日期本来的数值,上图对应的数值为: 要怎么解决呢?进行数据转换就行,这里可以封装方法,或者用第三方的
mediatemple - 无法使用 codeigniter 发送电子邮件
mediatemple - can#39;t send email using codeigniter(mediatemple - 无法使用 codeigniter 发送电子邮件)
Laravel Gmail 配置错误
Laravel Gmail Configuration Error(Laravel Gmail 配置错误)
将 PHPMailer 用于 SMTP 的问题
Problem with using PHPMailer for SMTP(将 PHPMailer 用于 SMTP 的问题)
关于如何在 GoDaddy 服务器中使用 PHPMailer 设置 SMTP 的问题
Issue on how to setup SMTP using PHPMailer in GoDaddy server(关于如何在 GoDaddy 服务器中使用 PHPMailer 设置 SMTP 的问题)
前端开发问题Java开发问题C/C++开发问题Python开发问题C#/.NET开发问题php开发问题移动开发问题数据库问题
五金机械 教育培训 机械设备 环保公司 新闻资讯 服装服饰 营销型 轴承 电子元件 零部件 电子科技 电子产品 环保科技 培训机构 电子商城 双语 中英双语 织梦模板 dede 外语学校 竞价网站源码 竞价培训网 门户网站 织梦笑话网 dedecms笑话网 织梦源码 网站建设 搞笑图片 织梦教程 旅游网站源码 织梦旅游网 学校培训 html5 企业织梦源码 医院源码 后台样式 移动营销页 chatgpt 整形医院 大学医院 新手建站 客服代码 洗衣机维修 企业网站 淘宝客 导航菜单 教育网站 学校源码 装修网站 装修模板 美容整形 女性健康 妈妈网 机械源码 建站公司 珠宝首饰 苹果网站 手机资讯 管理平台 织梦模版打包 妇科源码 安卓市场源码 男性时尚网 健康之家 app应用网站 笑话网站 下载站 车辆管理系统 中医院网站 家装网站源码