我目前正在開發一個 java 后端 和一個 使用 php、html 和javascript 用于私人項目（但我最終希望將其開源），這意味著無論如何訪問都僅限于我的 LAN，并且安全性目前并不發揮重要作用但將來可能會。由于我最喜歡用 Java 進行編碼，因此大多數數據處理和存儲（MySQL）都是用 Java 處理的，并通過 http 提供給前端（javascript; fetch()）。此外，java 后端處理身份驗證進程意味著我必須通過 javascript 中的 fetch 調用將登錄憑據傳遞到后端。由于我并不真正喜歡高級網絡編程，所以我想了一個基本的 POST ->重定向->登錄的 GET 設置應該足夠了，我之前使用過類似的登錄過程（但在 PHP 中處理身份驗證）。所以：客戶填寫HTML-Form并提交瀏覽器向 /login 發出 POST 請求并傳遞憑據 和目標頁面PHP 然后返回包含 javascript 部分 的 HTML，該部分以純文本形式保存憑據 login("<?php echo $_POST['username'] ?>", "<?php echo $_POST['password'] ?>", "<?php echo $_POST['target'] ?>");Javascript 然后獲取 java后端創建會話憑據 使用這些Javascript 問題window.location.replace(target);并且客戶端被重定向到目標頁面（其中通過會話 cookie 處理身份驗證）我目前正在過度思考，從效率和安全的角度來看這是否是一個好主意。我目前的想法是使用表單通過javascript直接將數據獲取到后端，而不是使用POST請求到附加頁面（跳過上面的步驟2和3）：這意味著首先 PHP 永遠不會看到憑據（這將減少一個故障點）并且憑據可能不會顯示在 HTML 中。此外，這會減少加載時間，因為不再需要 POST。因此我的問題是：在 HTML 中顯示憑據是否是一種不好的安全做法（就像在 URL 中顯示憑據一樣，以防止用戶在復制 URL 時意外將其憑據發送給某人）？與此相關的風險是什么？這些憑證可以被任何使用的 JS 庫或瀏覽器擴展讀取嗎？如果是這樣，那些人可能也可以讀取我在表單中輸入的憑據？從安全角度（和效率角度）來看，我的替代設置是否更好？在這種情況下還有其他提高安全性的建議嗎？感謝你們對我的幫助。