我对使用SSL证书的Web浏览器和服务器上的一个请求/响应有疑问。请设想以下案例(similar question here):
我想要服务器,向用户(在他/她的浏览器中)响应HTML,访问FTP中的一个文件,例如:
<a href="ftp://theftpserver.com/files/acounts.pdf">Download file</a>
在这种情况下,使用匿名用户访问不会产生访问此文件的任何问题,但如果用户具有用户名和密码的访问权限,将其放在HTML上,则不会非常安全,例如:
<a href="ftp://username:password@theftpserver.com/files/acounts.pdf">Download file</a>
我想防止服务器和用户之间使用此用户名和密码标记的此响应将被&#34;某人&#34;并获取用户的用户名和密码。
SSL证书可以解决这个问题吗?或者最好的方法是创建一个只有读取属性的用户名和密码的目录?
答案 0 :(得分:1)
是的,SSL会使其更加安全,因为您与服务器的通信将被加密。如果您有一个Web服务器(例如,一个API端点)接收来自前端的请求,联系FTP服务器,获取文件以及回复它,那就更好了。这样,前端不需要知道FTP服务器。另一个好主意是在发送密码之前对密码进行哈希处理。
答案 1 :(得分:1)
使用SSL(即HTTPS)提供包含密码的页面有助于保护页面内的密码。但是,您提供的链接适用于FTP站点,如果用户遵循FTP链接,密码将不受保护地发送,因为ftp://本身不使用SSL。虽然有FTP和SSL(FTPS),但它通常不会在浏览器中实现,因此您无法使用它。最好的方法是使用HTTPS而不是FTP来提供文件。