在网页上输入用户名密码时,如果不使用https,那么即使使用js加密,有些人可以通过抓包获取加密后的数据**(不需要对js加密的数据解密)**,然后把数据放在http请求参数里,从而实现登陆别人的账号。也就是说,在网页上利用js加密是没用的。
现在大多数网站登陆都是使用https,那样黑客就不能获取http请求的参数了。但是有些网站(例如淘宝),仍然先用js加密,再使用SSL加密。我想问的就是,**利用js加密不是多此一举吗?**因为黑客不太可能从SSL加密后的密文中解密出http的请求参数,即使解密出来,那他就完全可以像上面说的那样**(不需要对js加密的数据解密)**,把请求参数放在http请求包里,冒充别人登陆。
