为什么在登录页面不使用javaScript ?
why is javaScript not used in Login page?
我注意到许多JavaScript繁重的应用程序,如gmail,google doc等(google SSO)和其他网站不使用JavaScript来验证他们的登录表单。一般的做法是,JS被用作第一级验证,服务器端验证作为第二级那么,为什么人们不使用JavaScript验证登录页面呢?是否存在特定的安全风险?
您可以在Javascript中验证电话号码是否看起来像电话号码,这是一个简单的格式验证。
你不能验证登录凭证是否有效使用Javascript,这个必须在服务器上发生。这是因为它不是一个简单的格式验证,而是服务器必须检查数据库中的信息是否与输入的数据匹配。
在Javascript中,您最多可以在客户端验证用户名是否看起来像一个有效的用户名(如果您有这样的限制),或者密码是否符合您的有效密码规则(如果您有这样的规则)。这样做的目的是更快地清除绝对无效的值。但是,特别是对于登录信息,您确实希望而不是加快该过程。您希望这个过程尽可能慢,以使攻击者难以随机尝试用户名和密码。
我想不出任何理由不这样做——至少是为了验证用户名/密码字段是否输入了内容。
简单地说,如果javascript被关闭,那么验证就结束了。考虑到无法关闭表单,使用php等服务器端语言验证表单是最有效、最安全的验证表单的方式。
如果有人关闭了他们的JS,他们可以在没有用户名或密码的情况下创建一个帐户,你所要做的就是用php运行isset,这不会发生。
相关文章:
- javascript登录表单提交
- 如何从Facebook Javascript登录SDK中提取user_about_me部分
- Javascript登录页面
- 如果使用 JavaScript 登录失败,如何在登录页面中显示消息
- 在 bash 脚本中使用 cURL 的 Javascript 登录
- 使用 Ajax/JavaScript 登录 Jenkins
- 引用页面和JavaScript登录问题
- 这个JavaScript登录将不起作用
- 不使用javascript登录Facebook
- 简单的JavaScript登录,重定向到用户's页(多个用户)
- parse.com javascript登录safari手机失败.(QuotaExceededError)
- 使用Javascript登录设计用户注册
- Javascript登录,基本知识
- Google+使用JavaScript登录-立即调用两次回调
- JavaScript登录/注册回调函数
- 使用twitter进行JavaScript登录
- HTML和Javascript登录页(特殊字符)
- IE中的Facebook javascript登录错误
- 检查用户是否使用PHP和javascript登录
- Google+从Javascript登录- origin的参数值无效