如何在AngularJS中正确保护密码
How to properly secure password in AngularJS
我最近读了一篇关于AngularJS应用程序中认证技术的文章。他的概念与我通常处理此过程的方式非常相似,但密码以明文形式绑定到控制器的方式对我来说似乎是一个安全漏洞,我想知道有什么更好的方法来处理这个问题?
<input type="password" id="password" ng-model="credentials.password">
我认为,一种方法是在控制器上加密绑定密码?有办法做到吗?
我对讨论的看法:
1)只有当您的登录视图存在时,控制器才存在。一旦您提交了登录信息,您通常会更改视图,从而破坏控制器。
2)即使它在整个会话期间存在,也需要相当复杂的xss方案来获取数据。
3)而且,你们还有很多项目可以进一步降低风险:
- 使用https
在服务器端使用已签名的服务器证书
(如果您使用https,那么浏览器不应该允许您向HTTP资源发出ajax调用,并且如果未为站点添加证书签名和例外,https请求将失败)
4)最后,如果服务器支持,您可以考虑使用oAuth进行身份验证。
5)离岸金融中心。这完全取决于应用程序所需的安全级别。如果您真的担心有人在离开机器时得到密码,那么应该考虑使用不同的身份验证方法,例如:客户端证书(在智能卡上)或额外的1次代码,或类似的东西。
相关文章:
- Amd,希望确保某个东西总是最后执行
- JS表单提交"无法使用Chrome数据保护程序加载此页面.尝试重新加载页面.调试信息:POST CISmtuK
- 我如何才能确保计时器设置为每天4点半,所以我不会;不用在Javascript中提及某个日期
- 如何使用Passport保护路由终结点
- 如何保护节点webkit应用程序上的字体
- 我可以在Nodewebkit中保护javascript以外的资源吗
- Javascript:'受保护'范围界定
- 通过网站禁用屏幕保护程序/睡眠模式
- gcloud节点-我如何确保通过签名URL上传到谷歌云存储的文件是公开可读的
- 如何对单个页面进行密码保护(这不是身份验证系统的一部分)
- 如何确保在AngularJS中,数据在使用之前先加载
- 如何确保JQuery的一行在另一行之前运行
- JS应用程序中基于DOM的XSS保护
- 通过Javascript和PHP SDK保护Facebook登录
- 使用mouseover方法时无法保护svg的颜色
- 如何确保函数/方法参数为certian类型
- 正确传输和保护用户'web应用程序的密码
- 如何在PHP中使用url保护我的图像和文件夹免受直接访问
- 使用对数据库的写入权限保护文件
- jquery noconflict用于电子邮件垃圾邮件保护