2

と 以外に、フォーム データに追加のリクエスト ヘッダーを含める方法はactionありmethodますか? ユーザーにログイン資格情報を再入力させずに、認証資格情報をクロスドメインで送信したいと考えています。つまり、フォーム送信から直接認証ヘッダーを作成したいと考えています。

ドメインは SSL 対応なので、URL に資格情報を含めることを検討しましたが、ここで説明したように、これらの資格情報は接続を介して安全である可能性がありますが、他のアプリがブラウザーからアクセスできる可能性があるため、これは悪い考えです。

拡大画像

クライアントサーバー(ホームドメイン)へのAJAXリクエストを介して、クロスドメインのユーザー名とパスワードにアクセスできます。これらの資格情報を取得し、非 AJAX 要求を介して送信したいので、ユーザーは URL が公開されていなくてもドキュメントを安全にダウンロードできます。

4

1 に答える 1

1

特定の質問に対しては、答えはノーだと思います。フォーム自体から余分なヘッダーを送信することは制御できません。フォームで送信できるものは他にもいくつかありますが、やりたいことには役に立ちません。W3 フォーム タグの仕様

できることは、フォーム POST を実行することです。これは、セッション Cookie が問題外であり、クエリ文字列が機能しない場合に通信する標準的な方法です。資格情報のある種のトークン/ハッシュで隠しフィールドを使用するだけです。ペストのような平文のパスワードは避け、可逆暗号化も避けるようにしてください。これは、簡単に悪用可能なセキュリティの脆弱性を作成しないように特に注意する必要がある領域の 1 つにすぎません。

しかし、一般的に言えば、それは問題なく機能し、AJAX GET を実行できるものはすべて AJAX POST を実行できるはずです。

于 2013-03-19T18:06:00.330 に答える