是否可以在传输时修改服务器回复?
Is it possible to modify server reply on transit
我正在构建一个javascript库,允许使用SRP-6协议对服务器进行身份验证。
我知道使用javascript作为身份验证方法不是最好的选择,由于XSS。但是适当的XSS预防可以消除大多数问题。
我唯一关心的是在用户甚至收到请求之前修改服务器回复有多容易?
示例场景:
用户请求页面:http://serverdomain/home
服务器:回复:
<html>
<head>Home</head>
<script type="text/javascript" src="auth.js"></script>
<body>Home</body>
</html>
在用户收到回复之前。黑客能神奇地修改
的回复吗?<html>
<head>Home</head>
<script type="text/javascript" src="hacker_auth.js"></script>
<body>Home</body>
</html>
这是可能的吗?这是我在使用javascript进行身份验证时所能想到的一个漏洞。
Badaboooooom抓住了它:http://en.wikipedia.org/wiki/Man-in-the-middle_attack你可以使用https来降低风险,尽管如果用户没有注意到"锁"已经消失,http://www.thoughtcrime.org/software/sslstrip/等工具仍然可能使攻击成为可能。
您可以使用像HTTPS这样的安全协议来避免这种情况,尽管一切都可以以某种方式被黑客入侵,但有些方式比其他方式更容易被破坏。
相关文章:
- 从客户端获取修改后的对象,并将其与服务器上的原始对象组合
- JQuery 修改后的隐藏字段值在回发到服务器时为空
- 在角度中,创建链接中没有 # 且不修改服务器的 spa
- 当我将 JS 对象发送到 Node.js 服务器并请求返回相同的对象时,服务器会发回一个修改后的对象
- 将修改后的数据发送到服务器(带有计时器)
- 正在修改服务器端文本文件
- 如何使用单个声明修改服务器端和客户端都使用的库
- 如何定义一个函数来修改根据Ajax请求提交给服务器的数据
- 未知node.js和websockets服务器停止.谁修改了我的代码
- 使用Nodejs从客户端传递到服务器时修改的数据格式
- SSE客户端在我修改服务器时停止工作(Server Sent Event)
- 通过从客户端代码调用服务器端代码来修改UpdatePanel
- 如何获得修改图像(img)源(src)服务器端
- javascript函数可以修改在ASP.NET服务器上运行的元素吗?
- 修改服务器上的js文件并重新加载它
- Tomcat修改javascript文件无需重启服务器
- 通过javascript代码修改服务器文件
- 如何使用php函数"file_get_contents"服务器发送事件来监视服务器上文件的修改
- 如果在服务器上修改了页面,请重新加载页面
- 是否可以在传输时修改服务器回复?