下面的代码似乎可以在 Firefox、IE、Safari 中显示文本“HELLO WORLD”,但在 Chrome 中则不行。
<Files wp-login.php>
AuthType basic
AuthName "HELLO WORLD"
AuthBasicProvider file
AuthUserFile /home/.htpasswd
Require valid-user
</Files>
ErrorDocument 401 "Authentication required"
如何确保 AuthName 在所有浏览器中都有效?
AuthNamerealmWWW-Authenticate: Basic realm="HELLO WORLD"
我发现了 2015 年 10 月的 Chromium 票证,报告了与 HTTP 身份验证相关的中间人攻击:问题 544244 - HTTP 基本身份验证凭据提示应该使来源更加突出。在讨论中有人指出,realm 中的文本不可信任,可用于网络钓鱼攻击,诱骗用户向第三方泄露密码。我不是安全专家,但我知道代理可以注入标头(而且通常如此),这就是问题所在。
显然,该领域已从身份验证对话中删除,并且更改最终被移植到 Chrome。您可以查看不要在基本身份验证对话框中显示不可信的字符串代码审查以获取更多详细信息。