【发布时间】:2012-06-27 22:53:40
【问题描述】:
我正在为一个网站构建一个支付插件,用户可以在其中用真钱购买一些网站实习生货币。我使用的处理支付过程的后端是this。 它(除其他外)提供了一个 JavaScript 库来与他们的 API 进行通信,因此您不必让您的系统接触敏感的支付数据,如信用卡号等。
问题是: 目前,api-key、秘密哈希和其他易受攻击的数据被硬编码到我的脚本中,该脚本启动了与服务器的通信。所以理论上每个半血统的用户都可以将它们从浏览器中复制出来,并可以用它做讨厌的事情,特别是如果他们可以访问 api 文档。
所以,这并不安全,而且绝对不能以这种方式上线。
我正在使用 cakephp,我想在按下提交按钮后通过对我的控制器/模型的一些 ajax 调用来收集这些敏感键。 问题是,这种连接不安全,很容易成为“中间人”。
还有其他更好的方法来保护我在 javascript 中的 API 密钥吗?
【问题讨论】:
-
不。任何敏感信息都需要通过您的服务器。但是如果他们有一个 JS 接口,那么肯定他们考虑过安全性吗?
-
另外,和蛋糕没有任何关系..?
标签: javascript security cakephp api-key