[问题] basic authentication 问题

楼主: StephenCurry (Lock in!)   2014-08-31 20:26:08
最近在实作登入后转页的功能,
由于 web server 是用 basic auth, 想伪装成 form-based 的流程.
但是遇到一个比较棘手的问题,
认证成功后, 要转页到需要登入的页面, 这个时候会在 url 前面带入帐号密码,
http://username:password@XXX.XXX.XXX
但是 username/password 出现在 url 上面实在很不安全, 不晓得各位有什么建议?
目前想到的是转页的时候, 把 header 改掉, 但是 js 似乎没有这个权限.
location.href or window.open 目前看起来都是不支援修改 header..
事实上目前似乎只有 ajax 可以动态调整 header..
作者: up9cloud (九天)   2014-09-01 05:39:00
你要安全,应该是后端webserver前加一层专门rewrite
作者: alog (A肉哥)   2014-09-02 05:45:00
如果你是要遮网址就用iframe处理就好基本上http是明文传输 所以对于私密资料上,无论如何都不是安全的唯一可加强的是用aes配合有时效性的加密来处理不过这要自干的东西更多

Links booklink

Contact Us: admin [ a t ] ucptt.com