是否有可能在运输上修改服务器回复

我正在构建一个JavaScript库，允许使用SRP-6协议对服务器进行身份验证。是否有可能在运输上修改服务器回复

我知道使用javascript作为身份验证方法并不是XSS的最佳选择。但适当的XSS预防可以消除大多数问题。

我唯一担心的是在用户甚至收到请求之前修改服务器回复是多么容易？

示例方案：

用户请求页面：http://serverdomain/home

服务器：来回复有：

<html> 
    <head>Home</head> 
    <script type="text/javascript" src="auth.js"></script> 
    <body>Home</body> 
</html>

用户之前收到答复。黑客能不可思议地修改回复到

<html> 
    <head>Home</head> 
    <script type="text/javascript" src="hacker_auth.js"></script> 
    <body>Home</body> 
</html>

这可能吗？这是我在使用javascript进行身份验证时可以考虑的漏洞之一。

http://en.wikipedia.org/wiki/Man-in-the-middle_attack？ – sbaaaang

是的，这是可能的，有很多方法可以做到。 –

@Badaboooooom这是我期待的感谢词！ –

Badaboooooom钉它：http://en.wikipedia.org/wiki/Man-in-the-middle_attack您可以使用https来减轻风险，虽然工具，如http://www.thoughtcrime.org/software/sslstrip/还作出攻击可能的，如果用户没有注意到“锁定”走了。

2012-12-31 22:16:36 robrich

您可以使用像HTTPS这样的安全协议来避免这种情况，尽管一切都可以通过某种方式进行破解，但有些方法比其他方法更容易破解。

2012-12-31 22:01:09

回答