单击“登录”后,用户名和密码显示在地址栏中,不安全
问题现象
单击登录按钮,浏览器地址栏中显示了登录名和密码,存在密码泄漏的风险。
原因分析
Html表单提交采用的是get方法,get方法的参数值会在表单提交时显示在浏览器地址栏中。
<form method="get" action='/login'>
<div class="inputbox">
<input type="text" name="user" required="">
<label>Username</label>
</div>
<div class="inputbox">
<input type="password" name="password" required="">
<label>Password</label>
</div>
<div>
<input type="submit" name="" value="登录">
<input type="reset" value="取消">
</div>
</form>
服务端采用Flask,接收参数的方法:
user_name = request.args.get('user')
password = request.values.get('password')
解决办法
改为post方法,参数不显示在地址栏,一般用户注册、登录都通过post请求完成。
<form method="post" action='/login'>
<div class="inputbox">
<input type="text" name="user" required="">
<label>Username</label>
</div>
<div class="inputbox">
<input type="password" name="password" required="">
<label>Password</label>
</div>
<div>
<input type="submit" name="" value="登录">
<input type="reset" value="取消">
</div>
</form>
服务端采用Flask,接收参数的方法:
user_name = request.form.get('user')
password = request.form.get('password')
总结
request请求总体分为两类:
1.get请求
访问时会在地址栏直接显示参数,不安全,且参数大小会受限制。
2.post请求
参数不显示在地址栏,一般用户注册、登录都通过post请求完成。
flask获取参数方式:
- request.form.get("key", type=str, default=None) 获取表单数据
- request.args.get("key") 获取get请求参数
- request.values.get("key") 获取所有参数(万能通用——推荐使用),支持获取表单(get、post、delete均支持)及Ajax请求中的数据。
- 获取解析json数据格式也可以使用request.get_json()(需要设置contentType: "application/json;charset=utf-8")。
$.ajax({
type: 'POST',
url: '/sql_lab/execute_sql',
data: JSON.stringify( {sql: editor.getValue(), strategy: 'render_json', database: $('#database-picker').val()}),
dataType: "json",
contentType: "application/json; charset=utf-8",
})
服务端
data = request.get_json()