php – 安全弹出登录可能吗？

>攻击者可以拦截该页面并用自己的链接替换该链接.
>这可以防止用户检查它所连接的站点.

第一个问题与this question有关(不是特定于AJAX弹出窗口,而是通过普通HTTP登录页面,also discussed on Security.SE).这与this OWASP recommendation相反：

The login page and all subsequent authenticated pages must be
exclusively accessed over TLS. The initial login page,referred to as
the “login landing page”,must be served over TLS. Failure to utilize
TLS for the login landing page allows an attacker to modify the login
form action,causing the user’s credentials to be posted to an
arbitrary location.

从本质上讲,MITM可以修改您用来服务该登录框的页面以用它们自己替换它：用户将无法注意到差异(至少在它为时已晚).

第二个问题是,看到你已经连接(并且还要连接下一步)到地址栏中你想要的网站,这实际上是一件好事.任何人都可以拥有有效的https：//站点：mybank.example.com和attackers.example.com都可以拥有受信任机构颁发的有效证书.
如果我连接到我的银行,我想知道我的银行是通过HTTPS连接的.从弹出窗口或iframe向https：//站点发送凭据会隐藏真实的目标网站.

当初始页面通过HTTPS提供时,也会发生此问题,不幸的是3-D Secure system(这些人应该知道更好,真的！).

简而言之,不要使用iframe或弹出窗口,并且通过HTTPS提供登录表单的页面.