Appscan检测结果:【已解密的登录请求】已解决
| 修订建议 |
1. 确保所有登录请求都以加密方式发送到服务器。
2. 请确保敏感信息,例如:
login.html
login.css
login.js
login.ashx
verifyCode
2. 请确保敏感信息,例如:
- 用户名
- 密码
- 社会保险号码
- 信用卡号码
- 驾照号码
- 电子邮件地址
- 电话号码
- 邮政编码
----------------------------------------这是华丽的分割线----------------------------------
//以下是我的解决方案
经过我多次反复狂躁的郁闷的测试Login页面后。我扭不过IBM这个牛X的检测工具。
莫非是有viewstate+登陆框出现。禁用viewstate亦然检测不通过
办法:
直接采用静态页面Login.html通过ajax登陆。IBM 检测通过。
很粗俗的解决办法。希望高人指点,以下是源码实例。
div弹出层,我没有点击事件,是页面一加载就弹出来,你也可以改成$("#id").click(function(){});放这里面就可以点击某个id事件来弹出层了,上预览图:
页面加载完成时:
当验证码得到焦点时:
实现这个ajax为了节约时间,用户名/密码/验证码我都没判断是否为空,我也没用数据库,登录用户名和密码都是admin
登录成功时:
这里说明一下,由于时间有限,你可以把这个登录成功或者登录失败,效果做一下,直接在登录窗口上放一个<div id="message"><div>然后设置其样式,把提示内容追加上去,根据自己个人需求来,下面贴我的全部代码:
静态页面login.html代码如下图所示:
login.htmllogin.html层叠样式表login.css代码如下所示:
login.csslogin.html页面所需js文件login.js代码如下所示:
login.jslogin.html交互的后台cs文件login.ashx代码如下所示:
login.ashxlogin.html页面验证码文件verifyCode.ashx代码如下所示:
verifyCode有了以上文件,就可以做你想要的谈出div层效果了,我js不是很擅长,有好的意见欢迎拍砖,不要喷,谢谢!
