我想了解第一种提交表单的方法是否比第二种更安全:
第一种方法(无AJAX)
a) 将密码从视图发布到控制器
b) 加密密码,将其传递给型号
第二种方法(使用AJAX)
a) 使用AJAX 将密码从视图发布到控制器
b) 加密密码,将其传递给模型
对于第二种方法,我可以在浏览器的控制台网络窗口中看到密码,这就是为什么我认为这种方法不安全。
好吧,自己加密密码和网络安全是两回事。
当用户提交带有密码的表单时,密码将以明文形式在HTTP请求中发送。这就是为什么安全网站使用SSL,SSL在HTTP层中加密密码。如果你不这样做,无论你是否使用加密,有人都可以监听HTTP请求并从中获取密码。
一旦密码通过HTTP发送,您需要担心的另一件事是在将其插入数据库时确保它是加密的,如果您没有提出进一步的请求,这就是所有必要的。
您可以在此处阅读有关SSL的更多信息。
这两种方法都具有相同的安全级别。因为消息没有加密。
下载Wireshark,安装并使用(监听你的互联网适配器),然后如果你将任何表单发送到互联网,它会捕捉到它,你可以用它看到,这只是一条发送到服务器的纯文本消息(你可以在没有任何外部工具的情况下读取发送的数据),在这两种情况下都有一些标题。如果您想要更安全的解决方案,请使用https来加密消息,该解决方案使用SSL或TSL技术。
这两个例子都很容易在上面使用,即中间人攻击,当第三个人可以获得你发送到服务器的所有数据时。(当然,也有一种解决方案可以通过https使用这种攻击来读取消息,但这有点困难)
如果我是对的,有一个浏览器是firefox或chrome,你也可以在控制台中看到HTTP页面请求,比如页面请求或表单提交。(在内置控制台中,而不是在firebug或其他类似工具中)