我司前端把密码明文扔到 cookie 里面，这样做对吗

很多用户多个网站会用同一个密码，加盐 /加盐可以保证就算是这个密码在传输过程泄露了，用户的其他网站账户也相对安全。当然网站没有责任做这个

@msg7086 自己服务器本来就不该存原始密码，只存加盐的 hash

@Allianzcortex HTTPS 就是来保证密码在传输过程不会泄露的，明文没有问题

@Pastsong 嗯，就是前面说的信道问题，往好处想预防类似以前的 12306 这样的自签证书？ belt & suspender

@Pastsong 服务器存密码明文的前车之鉴就是 CSDN

@msg7086 照你的理论，反正键盘记录器防不了，就啥安全措施都不用做了，别挣扎了，都明文好了，是这个意思吧？

用 httponly 还有 https，没什么卵事

@darknoll #107
上别人电脑直接 F12 就看见明文密码了……

@msg7086 这是大佬
我没想那么多，就是一把梭，hash 就完事了。

我司也是啊，至少我们组的是，还好做的是公司内部项目，单点都是明文传输。

不对

其实在 cookie 放账号密码没什么问题,我个人猜测一下应该是要做记住账号密码 (我做过...)我一般都是 Bash64 转换一下再把敏感字换换( userPwd,userName)之类,这种东西真的是防君子不防小人,能黑你的人那肯定是知道这些,只能防防那些只知道按 F12 的人啦,心理安慰大于实际应用,再说因为有这一功能(记住账号密码)其实在密码输入框改一下 type 就能看到明文密码(本人健忘,经常这样干),如果不是记住账号密码这一功能,就当我放了个屁......

@lagoon 中间人攻击

@mrdemonson 2028 位以上 dh 公钥才有点用，要不然几分钟就给破了

@laoyur 是的，我们这里连银行的网银都是这么操作的，密码明文直接送进 SSL 安全层。

@Pastsong 说的不是永久存储，是说内存变量。

https 也不是特别安全啊，看网络环境。没遇到过中间人攻击吗？如果是加密的，被截取到后端也认，那这个 cookie 也是有时限的，但是明文的，被截取到就任人宰割了。

前端还是有必要加密密码等数据的，你们怕是没被撞库过。还民科，怕是没吃过亏吧。

那百度的 BDUSS 不也是本地存，F12 复制出去就能用

后端不加密前端不都是多余的操作吗...顺便借楼问一下正确的前端加密方式～