2

plain textセキュリティ チームから、ログイン ページでパスワードを送信しないように求められましたが、HTTPS を使用しています。そのため、送信前にクライアント側の暗号化を行う必要があると考え、解決策を探してjCryptionを実装することにしました。
ただし、いくつかのグーグルがこれを見つけた後、そこに示されている例は PHP/pythonです。リンクで説明されていることは何でもしましたが、ユーザーがフォームで送信したフォーム データを取得する方法がわかりません。

ログイン ポストバック アクションのスクリーンショット

keyログイン ポスト バック アクションにリターンのみが表示され、LoginModelユーザー名、パスワードが null である必要があります。

ログイン.cshtml

@model Portal.Model.Membership.LoginModel
@using jCryption

@{
    Layout = null;
    jCryption.HandleRequest(Request);
}
<html>
<head>
    <script src="~/Assets/global/plugins/jquery.min.js" type="text/javascript"></script>
    <script src="~/Assets/global/plugins/jquery-migrate.min.js" type="text/javascript"></script>
    @jCryption.RenderScriptFor("form", src: @Url.Content("~/Assets/admin/scripts/jquery.jcryption.3.1.0.js"))
</head>
<body>
@using (Html.BeginForm(null, null, FormMethod.Post, new { @autocomplete = "off" }))
{
    <div class="form-body">
        <div class="form-group">
            @Html.LabelFor(x => x.Username, new { @class = "placeholder" })
            @Html.TextBoxFor(x => x.Username, new { @class = "form-input", autocomplete = "off" })
            <span></span>
        </div>


        <div class="form-group">
            @Html.LabelFor(x => x.Password, new { @class = "placeholder" })
            @Html.PasswordFor(x => x.Password, new { @class = "form-input", autocomplete = "off" })
            <span></span>
        </div>
    </div>

    <div class="form-group">
        <button id="btnLogin">Login</button>
    </div>
}
</body>
<!-- END BODY -->
</html>

更新 ログインポストアクションにブレークポイントを設定すると、次のように2回ポップアップしkeyますjCryption送信後のjCryptionフォームデータ

4

2 に答える 2

0

MVC 5 の場合は、少し調整する必要があります。login.cshtml で

    @using jCryption
    @{
        jCryption.HandleRequest(Request);
    } 

    @section Scripts {
        @Scripts.Render("~/bundles/jqueryval")

        <script src="/Scripts/jquery.jcryption.3.1.0.mod.js"></script>     

        <script type="text/javascript">

        // tweak for compatibility with jquery.validate

            (function($){
                var _jCryption = $.jCryption;
                var jCryptionMod = function(el,options){
                    var form = $(el), hasValidator = !!form.data('validator');
                    if (hasValidator){
                        var v = form.validate();
                        var prev_handler = v.settings.submitHandler;
                        v.settings.submitHandler = function (_form, event) {
                            if( prev_handler ) prev_handler.apply(this, arguments);
                            var form = $(_form);
                            if (!form.hasClass('jc-before-submit')) {
                                v.settings.submitHandler = prev_handler;
                                form.addClass('jc-before-submit');
                                setTimeout( function(){ form.trigger('_jc_submit', event); }, 100 );
                            }
                        };

                        _jCryption.call(this, form, $.extend(options, {
                            submitElement: form,
                            submitEvent: '_jc_submit',
                            beforeEncryption: function(){
                                form.removeAttr('disabled');// form element hack ( IE11 )
                                return true;
                            }
                        }));
                    } else {
                        return _jCryption.call(this,el,options);
                    }
                }
                $.extend(jCryptionMod, $.jCryption);
                $.jCryption = jCryptionMod;
            })(jQuery);
        </script> 

        <script type="text/javascript">
            $(document).ready(function(){
                var form = $('form');
                var url = form.attr('action') || '/Account/Login';
                form.jCryption({
                    getKeysURL: url + '?getPublicKey=true',
                    handshakeURL: url + '?handshake=true'
                });
            });
        </script>       
    }

AccountController については、JakeJP のドキュメント (まったく同じコード) に従う必要があります。

IE F12 開発者ツール (ネットワーク -> 詳細ビューに移動 -> 要求本文) では、&jCryptionKey= が表示されますが、&UserName= と &Password= は表示されません。

于 2015-04-17T04:35:53.890 に答える