我正在计划一个 Cordova 移动应用程序(准确地说是 Meteor.js 应用程序),我需要从远程服务器安全地 POST/GET 一些敏感数据。
当请求指向https 端点时是否安全?我的猜测是它不会以这种方式工作。
只是说 - 我已经阅读了一些 SO 问题并搜索了谷歌,但其中大多数都提到了我没有遇到的 CORS 问题。
感谢您的帮助。
【问题讨论】:
标签: javascript ajax security cordova https
是与否
向 https 服务器发送数据是否安全? 是的,如果您确定要将数据发送到您的服务器
但是,您可能已连接到公共 wifi,并且可能有人在进行中间人攻击,因此您认为您正在将数据发送到您的服务器,但黑客正在获取数据。
为避免这种情况,您可以进行服务器证书固定,有一些插件可用,因此您可以确保发送数据的服务器确实是您的(比较证书指纹或检查某些值)
https://github.com/EddyVerbruggen/SSLCertificateChecker-PhoneGap-Plugin
【讨论】:
这取决于你需要什么。 Https (TLS) 将使您的移动用户确信他们正在与证书标识的服务器进行通信。它还将加密服务器和移动应用程序之间的通信,因此没有人可以监听。
它不会对您的用户进行身份验证,并且只允许您将某些数据提供给特定用户。为此,您需要某种身份验证方案。
它也不会保护您免受XSS、CSRF、SQL injection 或其他攻击。所以这在很大程度上取决于您的要求,但是 https 本身不足以保护网站。
【讨论】: