C'è un modo per inviare una password su JSONP (GET) su HTTPS (SSL)? Cripto forse?

0

Comprendo che l'invio di password in chiaro su GET non è considerato sicuro perché la stringa di query può essere registrata da più intercettazioni.

Tuttavia, se DEVO DAVVERO usare JSONP per inviare un nome utente e una password al mio server, c'è un modo per farlo?

Forse qualche crittografia sul back-end e sul front-end?

Stavo solo provando ad avere un approccio semplice per consentire ai miei utenti di accedere a due domini (non sottodomini) allo stesso tempo, senza infrangere le regole CORS. Fondamentalmente, quello che ottengo nei miei registri ora è questo

GET /login/jsonp?callback=jQuery21403191181201609543_1535388742134&email=email%40gmail.com&password=SjRrNOHzN&_=1535388742135 200 32.987 ms - 130.

Credo che una tale query non sia sicura.

    
posta Emilio 27.08.2018 - 19:29
fonte

1 risposta

1

JSONP viene solitamente utilizzato con un server che invia dati a un client, avvolto in una chiamata di funzione che viene eseguita sul client da javascript. L'invio di dati a un server non richiede JSONP, richiede solo una normale richiesta HTTP.

Non dovresti assolutamente usare il metodo GET per l'invio di coppie nome utente + password. In secondo luogo, la tua risposta dal server non dovrebbe includere le credenziali di accesso; i dati di accesso sensibili dovrebbero andare solo in una direzione (dal client al server) e non essere mai riflessi. Quello che vorrei suggerire sono due chiamate asincrone, una per ogni server. Probabilmente vorrai farlo in parallelo, piuttosto che uno dopo l'altro, usando Promises. Quindi se entrambe le promesse si risolvono e entrambi i server indicano che l'accesso è avvenuto con successo, rimandare ID di sessione o token nella risposta da ciascun server.

    
risposta data 27.08.2018 - 20:21
fonte

Leggi altre domande sui tag