繁体   English   中英

通过 XML HTTP 请求发送密码(启用 HTTPS)

[英]Sending password over XML HTTP request post (HTTPS enabled)

可以使用一些帮助来整理在 XML 请求中发送密码的最佳实践。 我需要从 HTML 表单收集输入,如果提供的密码与服务器上的密码匹配,则将表单中的数据插入数据库。 我想通过 Javascript/XML 请求来做到这一点,这样我就可以使用innerHTMLresponseText在适当的位置显示确认消息,而无需导航到新页面。 这是我所拥有的一个例子。 HTTPS 在此服务器上启用。

HTML 片段:

<form  enctype='multipart/form-data' action='javascript:insert_and_confirm_data()'>
<input type='text' id='variable_1'>
<input type='text' id='variable_2>
<input type='password' id='password'>
<input type='submit'>

<div id='confirmation'></div>

Javascript function:

function insert_and_confirm_data() {
    if (this.readyState == 4 && this.status == 200) {
        document.getElementById("confirmation").innerHTML = this.responseText;
    }
    var password = document.getElementById("password").value;
    var variable_1 = document.getElementById("variable_1 ").value;
    var variable_2 = document.getElementById("variable_2").value;
    url = 'process_data.php?password=' + password + '&variable_1=' + variable_1 + '&variable_2=' + variable_2;
    xmlhttp.open("POST", url, true);
    xmlhttp.send();
}

PHP 片段( process_data.php ):

$password = $_POST["password"];
if (password_verify($password, $uploadPass)) {
    // Get the other variables, insert them to a table, echo a confirmation message
} else {
    echo "<p>Incorrect password</p>";
}

这是发送要在服务器上验证的密码的“有效”且安全的方式吗? 我的直觉说在 XML URL 中包含密码是禁止的,即使启用了 HTTPS 并使用 POST 而不是 GET。 我知道如何修改它以直接调用 PHP 脚本,但我真的不想失去在同一页面上显示结果的能力。 但我不知道如何在此设置中执行此操作的最佳实践。

由于您使用的是 POST,因此没有理由也使用 GET 参数。 相反,您可以使用FormData创建一个表单编码的有效负载并将其发布。 你可能想给你的表单一个 id 给 select 它。

const formData = new FormData(document.querySelector('form'));
xmlhttp.open("POST", "process_data.php", true);
xmlhttp.send(formData);

从 HTML 表单中检索 FormData object

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM