@stiekel #42 @orlog #43 > 之前我说密码要在前端处理一下,但很多人说前端哈希密码没有用,他们大概是非常愿意把密码原文交给服务器的。 > 是的呀,我在另一个论坛发了,那边也一堆人回复说前端加密没用。终于遇到知音了 是的,你俩比 github 还懂,github 登录都是 https + 原文密码发送,你比 github 还安全还 new 批  另外你的网站我看并没有强制重定向 https ,而你在标题下发的网站地址是 http 的,在里面任意跳转网页也始终是 http 的,也就是绝大多数用户都是使用明文 http 获取你的 html/js/css 资源 你都一直用 http 明文传输了,你有什么资格好意思在登录界面说《密码明文不在网络上传输和存储,请放心输入》 别人整个中间人攻击篡改,插入一段 js ,人家想干啥就干啥,你的密码甚至在还没发送的时候就泄露了 你能不能保证用户接收到的正确的网页还是一回事
@orlog #94 有没有可能我已经在评论里明明白白地说清楚了,只是你听不进别人的意见不愿意看 以下是原文 > 另外你的网站我看并没有强制重定向 https ,而你在标题下发的网站地址是 http 的,在里面任意跳转网页也始终是 http 的,也就是绝大多数用户都是使用明文 http 获取你的 html/js/css 资源
