为什么不要将账号密码定义在JS中!

已于 2023-01-07 17:32:00 修改
阅读量965 收藏
点赞数
分类专栏: web python 文章标签: javascript 前端 html 网络爬虫 网络安全
于 2022-08-24 18:33:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61026911/article/details/126509866
版权
本文讲述了作者在学习前端时,尝试用JS在GitHub Pages上为个人网页设置密码保护。虽然在审查元素中看不到源码,但通过网络面板可以获取到包含密码逻辑的JS代码,从而揭示了仅依赖JS进行安全性防护的不足。作者通过Python爬虫演示了如何轻易获取并破解该密码,提醒开发者注意前端密码安全的重要性。
摘要由CSDN通过智能技术生成

刚开始学前端的时候,做了一个页面放在github的gitpage上面,可以通过连接访问网页,为了体验设置密码的快感,我也给我的页面设置了一个密码,但是gitpage只能配置静态页面,所以我网页的密码只能用JS来实现。

  <script >a=prompt("管理员用户")
        alert(`你好${a}`)
        while(a!='admin'){b=prompt("管理员密码")
        if (b=="123456")
        break;
        
        }
        
        if(b!=("123456"))
        {while(b!=("123456")){
            b=confirm("密码错误")
        }}
        else if(b==123456){
            alert("欢迎光临此网站")
        }
        
        </script>

上面代码实现了第一次输入一个用户名,如果用户名为admin,则直接进入网站,如果用户名为其他,则需要输入密码,如果密码为123456则进入。若不为123456则无法进入。

上线网站后,进入页面按F12,查看网页代码

发现在审查元素中看不到源码,嗯,看起来十分安全。那为什么不用JS来储存密码呢,而是在后端里面用数据库进行储存。下面一段某乎上面的解答。

 “每个人都可以看到源码”??

于是我重新打开我的页面进行审查,准备自己破解自己的密码。

破解密码的过程十分简单,简单到我觉得之前用JS储存密码的行为像个zz

按F12,进入network,可以发现我页面的html文件是存在的,而我储存密码的JS代码就在其中。

打开python,对我的网页进行爬取,获得html文件。

import requests
from lxml import etree
url="网址"
resp=requests.get(url=url)
print(resp.text)

在终端中发现了JS代码

果然将账号密码定义在JS中,所有人都可以轻易看到密码

最后就把这个乌龙页面送给大家破解吧,账号不是admin,密码也不是123456,大家自己去试吧

My_first_web

谁收我读研究生!!!!!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
js实现记住账号密码——学习笔记
baiyicanggou_a的博客
08-17 6207
实现的原理? 操作cookie,通过判断是否勾选了记住密码框,设置cookie内容,达到保存用户名和密码的效果。 什么时cookie? cookie有4kb大小,超出长度会返回空字符串; cookie存放在客户端,可以方便的修改查看,所以不能用cookie存放重要信息; cooki生命周期会在关闭浏览器以后结束,如果要在一段事件内使用,我们可以为cookie设置有效时间; Cookie,有时也用...
js加密,解密 使代码不容易被盗用
06-19
js 的保护,js是脚本语言,因此容易被其他人未经允许进行使用,因此对其进行加密,比较重要
谈谈密码安全:服务端密码保存
daiyudong2020的博客
01-12 4566
现在有越来越多的网络服务,基本都需要注册才能使用,注册需填账号密码账号基本是邮箱或者手机号,普通人基本上只有一两个邮箱和手机号,而普通人记得的密码也只是一两个。因此很多人会很自然地在不同的网络服务使用相同的账号密码。 这样就出现安全隐患。一旦某个服务的账号密码被泄露,其它的服务安全就受到牵连。 密码安全,应该分两部分讨论: 作为账号系统的设计者,如何对用户负责,更安全地保存密码
js的常见的三种密码加密方式-MD5加密、Base64加密和解密和sha1加密详解总结
热门推荐
红岸基地
05-15 8万+
在前面前端的时候,很多的时候是避免不了注册这一关的,但是一般的注册是没有任何的难度的,无非就是一些简单的获取用户输入的数据,然后进行简单的校验以后调用接口,将数据发送到后端,完成一个简单的注册的流程,那么一般来说,密码是不做加密的。但是也有一些数据库面存放的是加密后的密码,这样有一个比较安全的地方在于,即使黑客将用户输入的文本密码得到了,也不知道具体是什么,因为密码是经过加密的。今天就简单的...
JavaScript加密注意事项,怎么加密JS脚本最安全?
qq_43762932的博客
08-12 2728
avaScript加密注意事项,怎么加密JS脚本最安全?
JavaScript实现设定登录时账号密码的输入格式
拥抱白菜的猪博客
09-18 2838
效果演示: JS&HTML核心代码: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>注册表单校验</title> <link rel="
JavaScript使用cookie实现记住账号密码功能
10-24
在Web开发,记住账号密码功能是一个非常常见的需求,该功能可以帮助用户在下次访问同一站点时无需重新输入账号密码信息,提升用户体验。实现此功能的一种简单方法是使用客户端的Cookie来存储用户的登录信息。本文...
js 判断登录界面的账号密码是否为空
01-19
判断登录界面的账号密码是否为空的时候又不想用alert显示就需要用display来隐藏alert啦(在设置时切忌要将隐藏的内容账号密码的div,否则会根据屏幕的分辨率不同而有所变化,这是本人教训) 首先要定义账号...
账号密码第三方登录网页模板
01-22
标题的“账号密码第三方登录网页模板”指的是一个用于构建网站登录页面的设计模板,它支持用户通过第三方账号(如微信、QQ、微博等)进行登录,同时也包含传统的用户名和密码登录方式。这种模板对于提高用户体验、...
报修小程序 源码 后台账号密码 在压缩文件
01-03
【标题】的“报修小程序 源码 后台账号密码 在压缩文件”表明这是一个关于报修服务的小程序源代码,其包含了后台管理系统的登录凭证。开发者或者技术团队可以通过这些源代码来理解、修改或扩展这个小程序的...
JavaScript判断用户名和密码不能为空的实现代码
10-22
然而,这个验证并不总是完全可靠,特别是在JavaScript被禁用或者旧版浏览器。因此,我们还需要使用JavaScript进行二次验证。 接下来,我们分析给出的JavaScript代码: ```javascript <script language="...
原生javascript账号密码登录验证
style201904的博客
11-13 3026
调查问卷 引入jquery <script src="https://cdn.staticfile.org/jquery/2.1.1/jquery.min.js"></script> style body{ margin: 0 !important; padding: 0; background: url('images/indexBj.png')no-rep...
javascript表单账户密码校验提交
老李家的博客
09-14 3931
&lt;!DOCTYPE html&gt; &lt;html lang="en"&gt; &lt;head&gt; &lt;meta charset="UTF-8"&gt; &lt;title&gt;Document&lt;/title&gt; &lt;style type="text/css"&gt; span{color:
JS实现页面记录账号密码功能
gongjin28_csdn的博客
07-17 777
//先判断是否记住账号 var storageParams = window.localStorage; if("yes" == storageParams["isStorePyerNo"]){ $("#remb_me").attr("checked", true); $("#pyerAcctNo").val(storageParams["pyerAcctNo"]); } s //账号存储 var storpyrActNo = window.localStorage; if($("#rem
js登录页验证用户名密码
m0_59169193的博客
04-23 1万+
需求: 接受用户输入的用户名和密码,若用户名为"admin",密码为"123456",则提示用户登录成功。 var sww = 'admin'; // 设置用户名名称 var sty = '123456'; // 设置密码 do { // 使用 do while循环 先执行一次循环体,也就是下面的 用户名和密码输入框以及if分支。 var str = prompt('请输入用户名:'); // 弹出用户名输入框
js账户密码简单验证
weixin_43467567的博客
05-10 2011
//账号格式5-12位数字 var accountPattern = /^\d{5,12}$/; //密码格式6-22位字母数字 var passwordPattern = /^[a-zA-Z0-9]{6,22}$/; //验证码格式4位字母数字 var codePattern = /^[a-zA-Z0-9]{4}$/; //检测账号格式 function testAccount(account){ if(accountPattern.test(account)){ return true; }
html网站使用js实现记住账号密码功能
美奇软件开发工作室
09-05 1723
推荐使用localStorage,因为cookie容易被浏览器自动删除,导致保存不长久。2、读取保存在localStorage账号密码。3、移除已经保存的账号密码
vue开发引入第三方插件的方式及其区别
最新发布
你们瞎搞
08-22 364
npm。
2024前端面试题-js
FormAda的博客
08-22 816
是数组的一种迭代方法,主要用于对数组的每一项执行给定的函数。它只是简单地对数组进行遍历,没有提供跳出循环的机制。基础数据类型:string,number,boolean,null,undefined,bigInt,symbol。在规定的时间内没有触发事件,就执行函数,如果在规定的时间触发了时间久重新开始计时。当异常被抛出时,正常的流程被打断,可以通过。函数执行一次后,在规定的时间内不再执行。块捕获异常,从而实现停止迭代的效果。执行顺序:同步代码->微任务->宏任务。引用数据类型:Object。
nodejs实现多用户账号代码定义,未登录拦截所有请求,首页为登录页,登录后跳转index.html
04-01
以下是一个示例代码,实现了多用户账号代码定义,未登录拦截所有请求,首页为登录页,登录后跳转index.html: ```javascript const http = require('http'); const url = require('url'); // 定义用户账号 const users = [ { username: 'user1', password: 'password1' }, { username: 'user2', password: 'password2' }, { username: 'user3', password: 'password3' }, ]; // 定义已登录的用户 const loggedInUsers = new Set(); // 创建 HTTP 服务器 const server = http.createServer((req, res) => { const parsedUrl = url.parse(req.url, true); // 拦截所有请求,如果用户未登录则跳转到登录页 if (!loggedInUsers.has(req.socket.remoteAddress)) { if (parsedUrl.pathname !== '/login') { res.writeHead(302, { Location: '/login' }); res.end(); return; } } // 处理登录请求 if (parsedUrl.pathname === '/login') { const { username, password } = parsedUrl.query; const user = users.find(u => u.username === username && u.password === password); if (user) { loggedInUsers.add(req.socket.remoteAddress); res.writeHead(302, { Location: '/index.html' }); res.end(); return; } else { res.writeHead(401); res.write('Unauthorized'); res.end(); return; } } // 处理其他请求 // 在这可以加上其他的路由处理逻辑 // 比如根据不同的请求路径返回不同的文件 }); // 监听端口 server.listen(8080, () => { console.log('Server started on port 8080'); }); ``` 在这个示例代码,我们首先定义了一组用户账号,然后创建了一个 Set 来存储已登录的用户。当用户访问其他页面时,我们会判断该用户是否已登录,如果未登录则跳转到登录页。登录页的路径是 `/login`,用户需要在 URL 参数提供用户名和密码。如果用户名和密码正确,则将该用户的 IP 地址添加到已登录用户的 Set ,并将其重定向到 `/index.html` 页面。如果用户名或密码不正确,则返回 401 Unauthorized 错误。 在实际的应用,我们可以根据需要修改这个示例代码,添加更多的路由处理逻辑,比如处理其他的静态文件、API 请求等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值