【问题标题】:Safeguard javascript [AJAX] code?保护 javascript [AJAX] 代码?
【发布时间】:2013-04-04 21:13:24
【问题描述】:

我正在设计一个门户,我必须向服务器发送请求并从中获得响应。由于我正在用 javascript [AJAX] 编写整个代码,因此很难保护我正在使用的 URL。右击-->查看页面源代码会使整个脚本,URL的裸露!!

我知道用 javascript 编写不可能 100% 保护您的代码,有什么办法吗?任何其他语言?

【问题讨论】:

  • 是的,你清理用户输入并在后端添加验证,那么你就安全了。

标签: javascript jquery html ajax web


【解决方案1】:

没有。您不能对用户保密用户的浏览器和您的服务器之间的通信。

如果您不想让用户知道某事,也不要让浏览器知道。

【讨论】:

  • 脸书、推特是怎么做的??
  • @Fabrício Matté :我正在做,我们正在做谷歌身份验证,这很安全,但即使在身份验证之后,服务器的 URL 仍然是裸露的。如果黑客可以进入服务器。他可能需要 15-20 分钟才能毁掉整个建筑 :) 我很担心!
  • Facebook 和 Twitter 不会对用户发送给浏览器的数据保密。他们对用户进行身份验证并拒绝对用户未授权的事物的请求。
【解决方案2】:

任何提供公共 API 的东西都需要绝对偏执,不仅要对每个请求进行身份验证,还要确保经过身份验证的用户拥有执行请求所需的授权。

例如:删除 /file/4

  1. 您必须确保您已经验证了制作 请求。
  2. 您必须确保用户有权执行 DELETE 操作。
  3. 您必须确保用户拥有文件 4。

即使您希望自己的网站成为您 API 的唯一使用者,并且您不打算公开或记录它,您仍然隐含地公开了它。

【讨论】:

    猜你喜欢
    • 2021-11-28
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2014-06-22
    • 2018-10-06
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多