解决方法非常简单:
在htpasswd的浏览器验证通过之后的每次请求都会带有Authorization这个request header,把这个header直接用标准base64解码后就会得到明文的用户名和密码……这个头会从代理穿到后台,所以程序直接就能取到,解码就能得到用户名密码了。
但每次请求都会发送这个头,从安全性上说不带上https就太差了,在一些拦截程序的眼里,等于是明码。
在htpasswd的浏览器验证通过之后的每次请求都会带有Authorization这个request header,把这个header直接用标准base64解码后就会得到明文的用户名和密码……这个头会从代理穿到后台,所以程序直接就能取到,解码就能得到用户名密码了。
但每次请求都会发送这个头,从安全性上说不带上https就太差了,在一些拦截程序的眼里,等于是明码。
