0
我有一个企业内部网络锁定只有我们的用户。一位老板要求通过我们的内联网,您必须能够点击自己进入我们的其他网络服务之一。我已经使用这个“解决”的问题:加密形式的密码? html或javascript
<script type="text/javascript">
function autoClick() {
document.forms["PM"].submit();
}
window.onload = autoClick;
</script>
<form id='PM' action='https://ourwebapp.corporate.com/login' method='post'>
<label for='username'></label>
<input id='username' type='hidden','text' name='username' value='serviceaccountusername'/>
<label for='password'></label>
<input id='password' type='hidden','password' name='password' value='Serviceaccountpassword'/>
<input type='hidden','submit' value='Log in' />
</form>
此点击进入时,直接向用户发送到其他网络服务。我知道它是一个丑陋的黑客,绝对不应该这样做。不过,我觉得我的选择很少。随你。
我仍然希望在案件的任何恶意用户看代码,并采取以纯文本的服务帐户密码来加密密码。
该网站目前支持Java脚本和HTML。我猜这是java脚本是在这里选择的代码,我将如何实现这一目标?任何提示或解决方案?
我们是在谈论你的用户的密码?你将它们存储在明文中吗? – Beat
我不认为你想要做什么是有道理的。无论用什么方法解密它,都会在浏览器上发生,攻击者可以只看*那*代码,并且它自己解密。 – 2013-05-30 07:09:21
我们将为此使用serviceaccount,而不是用户特定的帐户。它只在仪表板上显示“公司公开”信息。但我仍然不希望用户访问服务帐户,因为它与我们的Active Directory绑定。 – Plindgren