是否可以在中转时修改服务器回复

Question

我正在构建一个javascript库，它将允许使用SRP-6协议对服务器进行身份验证。

我知道使用javascript作为身份验证方法并不是最好的选择，因为XSS。但是适当的XSS预防可以消除大多数问题。

我唯一关心的是，在用户收到请求之前修改服务器回复有多容易？

示例场景：

用户请求页面：http://serverdomain/home

服务器:回复如下：

<html>
   <head>Home</head>
   <script type="text/javascript" src="auth.js"></script>
   <body>Home</body>
</html>

在用户收到回复之前。黑客能以某种方式神奇地修改回复到

<html>
   <head>Home</head>
   <script type="text/javascript" src="hacker_auth.js"></script>
   <body>Home</body>
</html>

这有可能做到吗？这是我在使用javascript进行身份验证时能想到的漏洞之一。

Answer 1

http://en.wikipedia.org/wiki/Man-in-the-middle_attack：你可以使用https来降低风险，但如果用户没有注意到“锁”的消失，像http://www.thoughtcrime.org/software/sslstrip/这样的工具仍然会使攻击成为可能。

Answer 2

你可以使用像HTTPS这样的安全协议来避免这一点，尽管一切都可能以某种方式被黑客入侵，但有些只是比其他协议更容易被破解。