先看几张图,我挑了几个网站进行测试,比如
(1)知乎查看源代码的时候就可以看到value值
(2)简书修改密码文本框的type也能看到密码
(3)公司的系统,页面value值未显示,通过抓包工具可以看到密码
备注:页面不显示明文,其实就是 防止别人偷看
(4)淘宝通过抓包工具未显示密码,但并不代表不传密码,把值提交给服务端校验,而服务端只会告诉你成功或者失败,并不会告诉你正确的 name 和 password,而且 页面不显示正确数据只是防止别人偷看
1、知乎.png
2、简书.png
3、公司内网.png
4、淘宝.png
一般来说,密码在后端数据库里是MD5 + 加盐处理过的,后端收到密码计算一下 和库里的对比
摘自知乎上的一个解答:
一切设计都要基于目的。比如对于前端加密的意义,应该先问加密的目的,然后再看是否有必要。在非HTTPS下,很难将可登录的密码保护好,不管前端是否进行摘要算法转化,对于后端的系统来说,可登录的都是你传输到后端的部分。
所以对于后台系统来说,安全性还是要基于后台系统总体进行设计,而无关你前台的部分。
至于前台要不要加密,可以单独从前台的角度考虑,因为后台其实并不太在乎你传过来的是明文还是密文,它只需要通过一些运算,然后和数据库对上就可以了。
