Найти - Пользователи
Полная версия: Параметры запроса
Начало » Django » Параметры запроса
1
kpotko
Ноя. 23, 2015 16:53:42
Собственно имеется форма для регистрации/авторизации пользователя
после нажатия на кнопку происходит редирект на следующую страницу.
Проблема : при просмотре параметров “сети” в браузере мозила , можно найти параметры этого пост запроса .
Вопрос : насколько это безопасно, и можно ли сделать так, чтобы после редиректа не показывались эти параметры?
ajib6ept
Ноя. 23, 2015 19:33:19
kpotko
Вопрос : насколько это безопасно, и можно ли сделать так, чтобы после редиректа не показывались эти параметры?

Показывает тело пост-запроса, что в этом плохого? (мы же говорим пост запросы при регистрации/авторизации ?)
Параметры пост запроса скрыть не удастся, разве что можно их зашифровать.
kpotko
Ноя. 24, 2015 03:57:01
ajib6ept
Да, при авторизации , в строке параметры можно увидеть : login = 1 ; password = 1
Просто, не знаю как с этим делом на джанге, но на сайтах, написанных на пыхе при подмене параметров пост запроса можно получать достаточно интересную информацию, к примеру скрытые посты, которые проходят модерацию и еще не отображаются при обычном поиске.


Не подскажешь, как можно зашифровать их тогда?
balalay12
Ноя. 24, 2015 04:25:41
https
ajib6ept
Ноя. 24, 2015 05:58:47
Просто, не знаю как с этим делом на джанге, но на сайтах, написанных на пыхе при подмене параметров пост запроса можно получать достаточно интересную информацию, к примеру скрытые посты, которые проходят модерацию и еще не отображаются при обычном поиске.

Приложения могут уязвимы, а могут и нет, тут не от языка зависит.

Не подскажешь, как можно зашифровать их тогда?

Шифруем на клиенте (в нашем случае браузер) и все может быть расшифровано, мы можем только усложнить отслеживание post запроса.

Как самый простой вариант шифрования это Шифр цезаря

Вижу возможных два варианта
1.
Алгоритм шифрования:
  • вносим текст в поле формы на web-странице
    шифруем текст с помощью функций Java Script
    отправляем зашифрованный текст на сервер, где сохраняем в базу данных.

Обратный процесс:
  • получаем зашифрованные данные из базы данных с сервера
    дешифруем их с помощью функций Java Script
    выводим расшифрованный текст в нужное место на web-странице.

2.
Алгоритм шифрования:
  • вносим текст в поле формы на web-странице
    шифруем текст с помощью функций Java Script
    перед сохранением расшифровываем текст, и сохраняем в базу данным расшифрованный текст
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.
Powered by DjangoBB