【发布时间】:2018-07-20 11:34:33
【问题描述】:
我正在使用 Angular 4.0 开发一个项目,并使用 c#.net Web API 作为后端。
问题是,当我通过浏览器运行我的应用程序时,我可以通过“Postman Interceptor”看到 Web 服务调用(get/post)。这对安全性不利。有什么方法可以保护我的 webAPI 调用,使其在“Postmatser”或类似 fiddler 的工具中不可见?
【问题讨论】:
-
安全没有什么不好。通过运行 Fiddler,您实际上在本地计算机上设置了 MITM。您不想也不需要让用户无法“破解”他自己机器的呼叫。如果您使用 HTTPS,除了您之外,没有人可以看到这些请求。
-
没有。你不能......总是假设任何 api 被暴露并保护它的服务器端
-
AngularJS= 角 1。Angular= 角 2+。AngularJS 4= 时空撕裂 -
@YeldarKurmangaliyev “如果您使用 HTTPS,除了您之外,没有人可以看到这些请求” - Fiddler 可以安装证书并解密所有请求和响应。 HTTPS 不会对用户隐藏任何内容,而只会对未在您的计算机上运行的 MITM 隐藏。
-
@CodeCaster 是的,我的意思是,没关系,因为提出请求的人确实自己运行了这个 MITM 代理。服务器和客户端之间的任何人都无法看到这些请求。