安全 jQuery Mobile + Phonegap

Question

我是智能手机和平板电脑的 Html 5 开发新手，目前正在开发 Html 5、CSS、jQuery Mobile 和 PhoneGap 项目。

应用程序通过 XMLHttpRequest 执行的 SOAP Web 服务与服务器进行通信。以及新手如何想知道如果我不得不求助于插件、数据加密等，我必须在应用程序中解决哪些安全问题，而这些都是我需要使用的安全性。

验证用户名和密码没有使用表单。不要在页面之间传递参数。我没有使用 php。我不知道它是否可以绕过代码的可见性，因为我正在为 Android 和 iOS 开发。

由于我的经验不足，暂时在.js中使用全局变量来保存用户名和密码，以便访问其他方法的网络服务。 请就这个安全问题寻求帮助，因为我不知道从哪里开始、继续和结束。

谢谢！

Answer 1

PhoneGap 和安全性的详细分类请访问：https://github.com/phonegap/phonegap/wiki/Platform-Security

简而言之，如果您担心“无线”数据传输，请使用带有 SSL 的服务器，就像在 Web 应用程序中一样。如果您担心设备加密，则将其委托给操作系统的默认安全机制。

Answer 2

与 web 应用程序相同的安全性和注意事项，切勿在 phonegap 项目中使用来自 parse、stackmob、google 或 bing 地图等 api 的私钥。

Answer 3

您的特定技术堆栈与任何其他 Web 应用程序没有什么不同。您仍然容易受到大量漏洞的攻击。

听起来，您只关心应该考虑的客户端漏洞。如果是这种情况，您应该考虑很多事情。

1. 如果您使用的是 HTML5，请确保您使用的任何本地 API 都受到保护。 OWASP 有一个很好的最佳实践列表供您遵循https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet，其中只有一些可能适用于您的特定应用程序。
2. 您要为 XSRF 或 CSS（跨站点脚本或 XSS）实施的任何类型的防御都是徒劳的。唯一可以全面发挥作用的防御类型是在应用程序的服务器端（本例中为 PHP）实施的防御。
3. 此外，如果您希望数据在传输过程中通过 SSL 加密，则必须由服务器（SOAP Web 服务端点）处理。如果这无法实现，那么更复杂的替代方法是使用 WS-Security (http://en.wikipedia.org/wiki/WS-Security)

Answer 4

除了跟进其他 cmets...我建议使用 HTTPS/SSL + OAUTH（或其他一些基于令牌的机制）而不是在每个请求中传递用户名/密码...虽然简单的 HTTP 身份验证有效.