【发布时间】:2018-06-21 04:56:46
【问题描述】:
将密码/秘密等敏感信息从 Angular 传递到 Webapi 的最佳做法是什么?
在发送到 webapi 之前,我们是否需要在客户端对它们进行哈希/加密?
拥有 https:// 协议就足以在不加密的情况下通过网络传递敏感信息?
让我知道你的想法。
【问题讨论】:
标签: angularjs asp.net-web-api https password-encryption sensitive-data
【发布时间】:2018-06-21 04:56:46
【问题描述】:
使用 https 就是加密
SSL 是安全套接字层,它使用各种加密算法(在 Web 服务器上配置)来加密任何通信,它是保护信息的最佳手段。发送到客户端的任何数据都会受到损害,因此浏览器中的加密(JS 不是本机)通常被认为不值得。
建议去 letencrypt 并设置 certbot 来获取/更新你的证书,它也有助于服务器配置。您可能还想查看 linux 上的一般“服务器强化指南”我还在服务器端使用了一个名为 lynis 的程序来帮助审计/锁定事情。还有一些公司会评估你的服务器允许的哈希算法,以验证它没有使用任何已知有漏洞的算法(如 heartbleed),通常这些公司被宣传为“PCI 认证”公司,但测试基本上都是自动化的。 (PCI 是支付卡行业或签证/万事达卡安全的最佳做法,如果不遵守并且数据丢失,如果您不遵守 PCI 规则/建议,您可能会被认为承担更多责任)
不幸的是,遵循一般安全最佳实践并编写不受 SQL 注入影响的代码将使您领先,但安全方面没有灵丹妙药(与性能相同):
【讨论】: