<forms name=".ASPXAUTH" protection="All" ">

保护不适用于我

 

在我的web.config文件中我有以下内容: 

<authentication mode="Forms">
   <forms name=".ASPXAUTH" protection="All" loginUrl="~/Account/Login.aspx" timeout="2880" />
</authentication>

但是,当我登录并使用提琴手观看流量时,我仍然可以用纯文本查看密码。 我不知道什么是错的。

问候,

亚光

我只知道两个解决方案:

  • 使用https。 最好的解决方案,安全。
  • 使用JavaScript库(sha1)在发送密码之前散列密码(并清除原始密码字段!)。 还可以使用随机生成的盐,每次登录都会有所不同,将盐存储在服务器上和隐藏字段中,以便您也可以检查盐(用户可能不会更改它)。

    • 表单身份验证只能解决应用程序中URL端点的访问问题,但它并未解决数据传输到客户端和从客户端传输数据的方式 - 您通过Fiddler看到的是正常的HTTP流量。

    通常至少所有主要网站的登录页面都是通过HTTPS完成的,所以你不能窥探纯文本HTTP。

    链接地址: http://www.djcxy.com/p/55849.html

    上一篇: Protection not working for me

    下一篇: Access to the path Denied when uploading excel file