在网页上输入用户名密码时,如果不使用https,那么即使使用js加密,有些人可以通过抓包获取加密后的数据**(不需要对js加密的数据解密)**,然后把数据放在http请求参数里,从而实现登陆别人的账号。也就是说,在网页上利用js加密是没用的。
现在大多数网站登陆都是使用https,那样黑客就不能获取http请求的参数了。但是有些网站(例如淘宝),仍然先用js加密,再使用SSL加密。我想问的就是,**利用js加密不是多此一举吗?**因为黑客不太可能从SSL加密后的密文中解密出http的请求参数,即使解密出来,那他就完全可以像上面说的那样**(不需要对js加密的数据解密)**,把请求参数放在http请求包里,冒充别人登陆。
不要总想着抓包,那是你本地抓自己的包,所以感觉很容易,事实上比如像用arp欺骗,中间人攻击进行的抓包等都是不容易实现的。
再然后,安全性你可以参考现在已经很流行的双因子之类的
最后,js加密也还是有一些意义的,混淆,反调试,真正弄起来js代码简直不是人能看的
前端加密是不安全的,
不要总想着抓包,那是你本地抓自己的包,所以感觉很容易,事实上比如像用arp欺骗,中间人攻击进行的抓包等都是不容易实现的。
再然后,安全性你可以参考现在已经很流行的双因子之类的
最后,js加密也还是有一些意义的,混淆,反调试,真正弄起来js代码简直不是人能看的