原因是,你通过一个连接把用户名和密码发送到后台,即便密码不是明文,别人获取不到密码明文,但是,只要你这个连接成功登陆过,别人就可以拿这个连接到处登陆.密码明文加密完全形同虚设.
如果非想使用get方式发送,我可以给你个思路,就是表单附带发送令牌,这个令牌是表单内的隐藏域,后台里对每一个时刻都不同的字符串做单向加密然后保存SESSION会话,一般使用md5方式,然后表单页面隐藏域写出该SESSION的值.发送表单的时候,附带令牌一起发送,(在url形式中就是多了一个参数),后台验证令牌是否是保存过的SESSION值,如果是,执行登陆,如果不是,就报错.
不管令牌是不是正确的,你都需要在每次生成页面时重新更新一次令牌并输出,这样才能保证唯一性.
然后你可以使用js版的md5把密码处理成加密字符串.
这样可以躲过部分不熟悉html的,但是如果他懂html,只需查看html的令牌,然后自己去组成url,那么照样还是不行.
所以,这种形式仍是不可取的,正宗的方式就是post发送用户名和密码,或是ajax的get方式发送.
js加密是防君子不防小人的,只能适当增加获得源代码的难度。如果是调试目的,建议提供两个版本的js,一个加密一个非加密,调试的时候还是明文最方便,既然是给自己看为何还要加密。只要是在网上能在线看的都能被下载下来。不论有没有下载连接,直接从电脑端口截获信息然后下载到本地。
![ie浏览器不支持js导致部分功能缺失怎么解决[多图]](/aiimages/ie%E6%B5%8F%E8%A7%88%E5%99%A8%E4%B8%8D%E6%94%AF%E6%8C%81js%E5%AF%BC%E8%87%B4%E9%83%A8%E5%88%86%E5%8A%9F%E8%83%BD%E7%BC%BA%E5%A4%B1%E6%80%8E%E4%B9%88%E8%A7%A3%E5%86%B3%5B%E5%A4%9A%E5%9B%BE%5D.png)
