我正在构建一个JavaScript库,允许使用SRP-6协议对服务器进行身份验证。是否有可能在运输上修改服务器回复
我知道使用javascript作为身份验证方法并不是XSS的最佳选择。但适当的XSS预防可以消除大多数问题。
我唯一担心的是在用户甚至收到请求之前修改服务器回复是多么容易?
示例方案:
用户请求页面:http://serverdomain/home
服务器: 来回复有:
<html>
<head>Home</head>
<script type="text/javascript" src="auth.js"></script>
<body>Home</body>
</html>
用户之前收到答复。黑客能不可思议地修改回复到
<html>
<head>Home</head>
<script type="text/javascript" src="hacker_auth.js"></script>
<body>Home</body>
</html>
这可能吗?这是我在使用javascript进行身份验证时可以考虑的漏洞之一。
http://en.wikipedia.org/wiki/Man-in-the-middle_attack? – sbaaaang
是的,这是可能的,有很多方法可以做到。 –
@Badaboooooom这是我期待的感谢词! –