|
|
5 回复 | 直到 14 年前
|
1
6
如果设置正确的话,javascript中的任何内容都不应该是安全风险。试图访问在javascript文件中找到的Ajax端点应该检查用户的权限,如果没有正确的权限,则会失败。
如果你做了一些破坏的事情,比如打电话给类似的人,让别人查看你的javascript只是一个安全风险。
这通常是缩小(以减少带宽使用),而不是模糊。它很容易可逆。有一些模糊技术会使所有变量和函数名变得无用,比如“aa”、“bb”等,但只要付出足够的努力,它们是可逆的。
这是可能的,但它很容易被任何半能干的攻击者解决。 底线: 发送给非特权用户的浏览器不应 曾经 敏感数据。 |
|
|
2
2
当然,您应该花更多的时间检查后端脚本。您必须像攻击者是您站点上的关键开发人员之一一样处理安全问题,而这个开发人员完全知道所有事情的工作原理。网站中对数据库有影响的每一个URL都必须受到保护,以确保每个参数都在允许的约束范围内:用户只能更改自己的数据,只能在合法范围内进行更改,只能在允许更改的状态下进行更改等等。这些都与什么无关。t您的javascript看起来像或者是否有人可以阅读它,而jquery与这个问题完全无关(除非您做的都是错误的)。 记住:对您的站点的HTTP请求可以来自任何地方,并且可以由宇宙中的任何一个软件启动。您无法控制这一点,也无法对客户机可以加载哪些页面进行任何限制。不要费心“引用”检查,因为值可能被伪造。不要依赖JavaScript中的数据清理例程,因为可以绕过这些例程。 |
|
|
3
0
好吧,你想这些是对的。这是Web应用程序开发中一个非常重要和被误解的领域。 在我看来,答案是肯定的。 可以 创建更多的安全问题,仅仅是因为(正如您指出的)攻击向量增加了。从根本上讲,与传统(非JS)Web应用程序相比,没有太大的变化,同样的最佳实践和方法也能很好地为您提供服务。例如,注意SQL注入、缓冲区溢出、响应拆分等…你只是有更多的地方需要注意。 就脚本本身而言,跨域安全问题可能是最普遍的。研究并学习如何特别避免XSS攻击,以及CSRF攻击。 Javascript模糊处理通常不是出于安全原因而执行的,您可以很容易地对其进行逆向工程。人们这样做,部分是为了保护知识产权,但主要是为了减少代码下载的重量。 我推荐O'Reilly出版的克里斯托弗·威尔斯的书,书名为“保护Ajax应用程序”。 |
|
|
4
0
有免费软件可以 JavaScript Obfuscation . 虽然没有安全,但默默无闻。这并不能防止对您的系统的所有攻击。这确实使它变得更加困难,但对于其他人来说,也不可能撕掉你的javascript并使用它。 还有客户端信任的问题。通过在客户机端拥有大量的逻辑,客户机有权选择要执行的操作。例如,如果您在JavaScript中转义引号以防止SQL注入。黑客将编写利用代码来构建自己的HTTP请求,完全绕过转义例程。 TamperData 和 FireBug 通常被黑客用来深入了解Web应用程序。 单独的javascript代码 罐头 其中存在漏洞。一个很好的例子是 DOM Based XSS . 尽管我承认这不是一种常见的XSS类型。 |
|
|
5
0
|
推荐文章
|
|
Farid · 限制django每个客户的访问 2 年前 |
|
|
josegp · 在Nmap中-p-tag是什么意思 2 年前 |
|
|
kramer65 · 如何根据网站用户在S3上添加非公共网站文件? 6 年前 |
|
derf26 · 如何阻止React Web包包含包中的脚本。json 6 年前 |
|
user8663960 · 最好也是最简单的方法是保护登录表单的安全 6 年前 |
