@
love9527 这算啥 人都是逼出来的 别给我提剖腹产
没有 https 还不让我用加密登陆了?(主要是在外面用别人的网络的时候,我咋知道没有劫持呢?)我非要用七牛 HTTPS 静态空间搞个加密登陆………(全程不传输明文密码,首先 PHP 这边生成一个随机字符串作为令牌,加上当前时间戳,跳转去七牛,七牛这边静态页面也没有加密算法,首先你得键入正确的用户名,才会加载加密算法 [很显然, JS 地址是用户名相关的,键入错误会载入错误的加密算法 JS 文件地址,自然得不到也载入不了算法] ,然后得到算法后,和密码对令牌进行签名,然后跳转回 PHP 程序, PHP 核对一下签名对不对,再核对一下时间戳和随机字符串对不对以及是否在允许的时间范围内)
你看,如果你不知道我的用户名,你就只能在七牛的这个静态页面,这个页面就一行 js ,根据用户名 input 的内容去载入 js 文件,也就是加密算法文件,没有这个 JS 文件,你连往哪提交都不知道,没有这个文件你连怎样签名都不知道,还谈什么破解……网络劫持也没用,跳转到七牛的时候是 HTTPS 页面,每次我只要抬头看一下这个七牛的 HTTPS 和域名,心中就了然了。
以后也可以考虑搞个二维码登陆,反正实现起来也不难……
搜索这个其实也搞过,不过是自用的,技术不需要太强大,心里很清楚,搜索字符串会被劫持(很显然我又没有 HTTPS ),直接 js 做个编码就行了……我看你这个就很实在,就做了处理,很多没做处理的,一搞关键词就劫持(综上所述,没有 SSL 就绕过一下吧)
要不是没文化,我也没跑了肯定是个程序员……以前只觉得后台强大,其实纯静态空间也能做很多事情……
上面的七牛也可以替换成 Github ,因为都支持 HTTPS