在网页上输入用户名密码时，如果不使用https，那么即使使用js加密，有些人可以通过抓包获取加密后的数据**（不需要对js加密的数据解密）**，然后把数据放在http请求参数里，从而实现登陆别人的账号。也就是说，在网页上利用js加密是没用的。现在大多数网站登陆都是使用https，那样黑客就不能获取http请求的参数了。但是有些网站（例如淘宝），仍然先用js加密，再使用SSL加密。我想问的就是，**利用js加密不是多此一举吗？**因为黑客不太可能从SSL加密后的密文中解密出http的请求参数，即使解密出来，那他就完全可以像上面说的那样**（不需要对js加密的数据解密）**，把请求参数放在http请求包里，冒充别人登陆。