问用户名和密码存储在隐藏的表单字段中有多糟糕？

EN

这是一个糟糕的想法的原因有很多：

1)正如所指出的，如果查看源代码、检查元素或任何类似的内容，则很容易发现用户名/密码。

2)除非您的传输层是加密的，否则它们将很容易被截获。

3)如果浏览器缓存您的html页面，那么这个带有用户名/密码的文件现在存储在此人的计算机上。

4)如果该用户保存该页以提供给他人，则该用户的用户名/密码与该页相同。

5) POST方法意外地被更改为GET，现在密码和用户名存储在服务器访问日志中.

等等

在我看来，没有真正的理由这样做，特别是当您可以在服务器上使用会话cookie，或者其他不向客户机公开私有信息的方法时。

编辑：想想看，我以前做过一次。我在一个隐藏字段中放置了一个密码，但是在这样做之前，我用一个只有服务器知道的秘密密钥对它进行加密，然后打印出来，然后当我将密码发回服务器时，我对它进行了解密。因此，明文密码永远不会与客户端一起使用。

编辑2：应该指出，前面的编辑中描述的方法不是用来直接验证某个人的，就像霍布斯指出的那样。

对于访问当前页面的任何人(可能不一定是登录到应用程序的同一个人)，查看html源代码并获取用户名和密码是非常容易的。

如果我登录我的gmail，离开我的办公桌，你就会进来，你可以看到我所有的电子邮件。但是无论你怎么看我的gmail密码，都看不出来。但是如果gmail以隐藏字段格式传递密码，那么您可以看到我的gmail密码。

• 页面可以在用户的浏览器中缓存。
• 页面可以在代理服务器中缓存。
• 最糟糕的是，该页面可以被搜索引擎缓存。

在任何情况下，包含用户名和密码的内容都可能被提供给不应该看到它的人。