【问题标题】:JQuery security checkjQuery安全检查
【发布时间】:2013-05-13 17:20:42
【问题描述】:

我正在使用 JQuery 向 SAS HTML 输出文件添加很多功能。基本上,我将添加到以前的静态 HTML 表格中,例如突出显示行、重新排序、按子组求和等功能。

问题是我组织之外的任何人都无法看到这些表中的数据。这些文件不会在线,只是保存在我们的安全驱动器上。但我担心会在无意中将数据片段暴露给任何外部服务器或攻击者。

我已经阅读了几篇关于 JQuery 安全性的文章和问题,例如 Is JQuery secure?jQuery ajax security,但我真的很想知道在我的情况下是否需要避免任何事情,以免发生任何意外。

鉴于我不会使用 AJAX 或任何在线托管的插件,我有一个主要问题:

相对于仅在无 JavaScript 的 HTML 中显示数据,我可以在 JQuery 中做哪些不明显的事情会造成数据泄漏的机会?

如果这似乎是一个我可以自己回答的问题,我深表歉意。虽然我认为一切都应该没问题,但我不是安全专家,我想在我可能很棒的项目让公司陷入困境之前确定这一点。

--编辑:作为对 Phillip 的 cmets 的回应,我应该澄清一下,任何访问文件的人都已经被要求提供他们的凭据,获得特定项目的许可,并签署一份数据保密协议,以便任何移动的尝试来自安全位置的文件将违反访问条件。

【问题讨论】:

    标签: jquery security


    【解决方案1】:

    不,这是一个非常糟糕的主意,因为 jQuery/JS 是一种客户端技术,任何拥有文本编辑器和浏览器的人都可以复制您的代码并重新创建显示敏感信息所需的环境。您需要某种服务器端验证,以确保您的数据完全安全,即使只是供内部使用。

    【讨论】:

    • 谢谢 Phillip - 我不太确定任何拥有文本编辑器和浏览器的人在没有首先访问我们的服务器的情况下如何做到这一点,此时他们可以窃取数据文件而不是我的代码。我想 IT 部门的工作是不让任何人进来窃取文件,但我只是想确保我的脚本不会因为对正在发生的事情的一些微妙误解而将数据发送到外部任何地方。这是否解决了您的疑虑,还是我没有听懂您的意思?
    • 你听说过“长城综合症”吗?这是公司内部员工带着数据离开时面临的问题。只要一切都是客户端安全将是一个问题。使用适当的验证程序将所有内容保存在服务器上是可行的方法。此外,如果有人使用文本编辑器修改了 jQuery 并在本地运行,则数据可能会被不知情的人发送到异地。这是您需要对您认为安全的数据进行某种服务器验证的另一个原因。
    • 太棒了 - 对于您所指的正确验证程序有任何链接或建议吗?
    • 有很多关于这个主题的文章,但实际上这个决定通常是从公司指定的 CIO 开始的。通常验证是访问数据所需的用户名和密码,以及在员工离职时关闭该访问的能力。此外,Web 开发人员还可以使用许多技巧,当然取决于具体情况,以使用户将数据作为 HTML 文件保存到闪存驱动器时不太方便。
    • 也许我应该更具体一些。访问 HTML 文件已经需要凭据。只有那些获得特定项目许可的人才能拥有这么多的访问权限,并且他们都签署了数据保密表。任何将数据复制到闪存驱动器等非安全位置的人都会知道他们违反了安全程序。当员工被终止时,他们显然不再有任何访问权限。我担心我的代码的无意后果 - 其他员工的故意恶意行为超出了我的控制范围。
    猜你喜欢
    • 2012-07-10
    • 2021-04-04
    • 2013-04-05
    • 1970-01-01
    • 2015-08-01
    • 2013-08-29
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多