При отправке данных формы пароль отображается в зашифрованном виде внутри данных формы, а также в параметрах запроса POST
Действительно, браузер показывает вам все данные, которые были опубликованы. По сути, запрос был сделан от имени пользователя, и вы должны предположить, что пользователь может видеть всю информацию, которую он / она опубликовал.
Я хочу скрыть пароль в зашифрованном формате.
просто изменить протокол на https с http
Да, это правильный ответ, https гарантирует, что трафик зашифрован и сервер аутентифицирован, и любой, кто перехватит трафик, не сможет расшифровать любые из опубликованных данных. В браузере вы видите данные перед шифрованием и фактической передачей.
Я использую sha-512 для шифрования
Нет, кажется, вы только что хэшировали некоторые данные (пожалуйста, найдите и узнайте разницу между шифрованием и хэшированием), теперь хеш стал паролем, теперь вам нужно защитить хеш.
КВО-204
Ничего из того, что вы показали, не указывает на уязвимость CWE-204. То, что вы показали, это обычный пост-запрос и ответ с файлом cookie сеанса и URL перенаправления. Ваша система может иметь или не иметь уязвимость CWE-204, хотя она не имеет никакого отношения к предоставленным вами данным.
Пожалуйста, помогите мне, как решить проблему скрытия данных формы от показа пароля в параметрах заголовка запроса POST
Теперь есть вопрос:
Пароль предоставлен пользователем, и вы хотите скрыть пароль от какой-либо третьей стороны (потенциально перехватывающей трафик)? Тогда использование https поможет. Пользователь все еще может видеть опубликованные данные (включая пароль), но хорошо - пользователь предоставил пароль, он его уже знает.
Если в качестве «пароля» какой-либо системный параметр вы хотите передать в форму, а пользователь не сможет его узнать? Теоретически - вы можете зашифровать пароль на стороне сервера и расшифровать пароль в целевой системе. Тем не менее, пользователь может просто опубликовать зашифрованный пароль еще раз. Тогда вы можете использовать ограниченный по времени токен JWT.