ASP.net 表单身份验证 - 保护对我不起作用

Question

在我的 web.config 文件中，我有以下内容：

<authentication mode="Forms">
   <forms name=".ASPXAUTH" protection="All" loginUrl="~/Account/Login.aspx" timeout="2880" />
</authentication>

但是当我登录并使用 fiddler 观察流量时，我仍然可以看到纯文本形式的密码。我不知道出了什么问题。

问候，

马特

Answer 1

我只知道有两种解决方案：

1. 使用 https。最佳解决方案，最安全。
2. 在发送密码之前使用 javascript 库 (sha1) 对密码进行哈希处理（并清除原始密码字段！）。还可以使用每次登录时都不同的随机生成的盐，将盐存储在服务器上和隐藏字段中，这样您也可以检查盐（用户不能更改它）。

Answer 2

表单身份验证仅解决对应用程序内 URL 端点的访问问题，但它不解决数据如何传入和传出客户端的问题 - 您通过 Fiddler 看到的是正常的 HTTP 流量。

通常至少所有主要网站的登录页面都是通过 HTTPS 完成的，因此您无法监视纯文本 HTTP。