随笔您现在的位置是:首页 > 博客日志 > 随笔

使用代理是否会暴露Authorization信息?

<a href='mailto:'>微wx笑</a>的头像微wx笑2019-08-05 16:07:07随笔人已围观关键字:权限认证

简介使用代理是否会暴露Authorization信息?HTTP Basic认证每次客户端请求都需带上Authorization请求头, 值为"Basic xxx"。xxx为对用户名和密码进行Base64编码后的值。 若客户端

使用代理是否会暴露Authorization信息?mhu编程技术_踩坑日志_进阶指南 - 无知人生


mhu编程技术_踩坑日志_进阶指南 - 无知人生

HTTP Basic认证

每次客户端请求都需带上Authorization请求头, 值为"Basic xxx"。xxx为对用户名和密码进行Base64编码后的值。 若客户端是浏览器,则浏览器会提供一个输入用户名和密码的对话框,用户输入用户名和密码后,浏览器会保存用户名和密码,用于构造Authorization值。当关闭浏览器后,用户名和密码将不再保存。mhu编程技术_踩坑日志_进阶指南 - 无知人生

用户名/密码经过Base64加码后,这个Base64码值可以轻易被解码并获得用户名/密码,所以此认证方式并不安全。为了传输安全,需要配合SSL使用。mhu编程技术_踩坑日志_进阶指南 - 无知人生


mhu编程技术_踩坑日志_进阶指南 - 无知人生

例如如下的CURL调用:
mhu编程技术_踩坑日志_进阶指南 - 无知人生

curl -x 111.75.223.9:30646 -u alsdkfjlsfdk:sdfsldjfkl http://ivu4e.com

用于认证的用户名密码被以明文的方式发送到了代理服务器,如果代理服务器稍微做点什么手脚,是不是可以利用这个来做点什么你不希望的事情?mhu编程技术_踩坑日志_进阶指南 - 无知人生

很赞哦! () 有话说 ()

相关文章

站点信息

  • 建站时间:2018-10-24
  • 主题模板《今夕何夕》
  • 文章统计:102篇
  • 文章评论:7条
  • 文章阅读:281次
  • 文章点赞:341次
  • 微信公众号:扫描二维码,关注我们