0
我对在浏览器上的全局变量中存储敏感信息有点偏执狂;谁不会。进入AMD!我的问题是,我们可以放心地使用require.js来完全隔离变量,以帮助减轻控制台对变量的不必要操纵吗?有没有人发现后门,或者更好的方式来说,有人见证了require.js库的任何安全问题吗? 谢谢!使用require.js减轻javascript对象的安全风险
A
回答
2
不,你不能。即使你没有任何全局变量,用户仍然可以通过你的源代码并添加断点,那么当代码到达断点时,他可以操作在实际范围内可访问的所有变量。
看看这个gamedev question这对如何使它更难(但并非不可能),为用户骗你的代码的一些建议。
0
是的,攻击者可以随时查看源代码。但是,如果您调整大小并塑造有效负载,将客户端的部分/区域缩小和模块化,按照用例需求进行按需服务,则可以有效地添加一层安全性,这是由于人玩。
bot不能简单地遍历服务器上的目录,而是必须(通过JavaScript)智能地导航应用程序,只需在应用程序中唯一指定的位置获取代码。它必须知道某些有效载荷何时对用例至关重要(比如将信用卡信息N屏幕提供给流程)。此外,客户端代码将被模糊w/r/t IP地址或沿着连续的定期发布周期。
相关问题
- 1. WordPress - 安全风险?
- 2. 个人使用泡椒安全风险
- 3. 使用xpath有什么安全风险?
- 4. 安全风险(XSS)的风格属性
- 5. AHAH是安全风险吗?
- 6. 启用MSDTC的安全风险
- 7. Apache中auto_prepend_file的安全风险?
- 8. 动态网站的安全风险
- 9. WCF自签证明的安全风险
- 10. Drupal中$ update_access_free = true的安全风险
- 11. 框架登录中的安全风险
- 12. JavaScript,通过JSON传递用户ID是一种安全风险?
- 13. 使用eval()在JavaScript中执行用户输入的安全风险
- 14. 可以image.src是一个安全风险?
- 15. ASP MVC会话安全风险
- 16. ElementRef安全风险角度2
- 17. 多个提交按钮安全风险
- 18. PHP过滤器和安全风险
- 19. 表单身份验证安全风险
- 20. SSL系统属性 - 安全风险?
- 21. 有任何安全风险codealike?
- 22. Linux内核模块 - 安全风险?
- 23. 写入文件夹和安全风险
- 24. SP_OACreate,SP_OAMethod等的使用是否存在安全风险?
- 25. INotifyPropertyChanged:使用线程安全分派器实现的风险
- 26. 正在使用PendingIntent接收位置更新的安全风险?
- 27. 使用Facebook登录的任何安全风险
- 28. 使用Backbone.js,Require.js和Laravel的SPA安全
- 29. 让javascript访问外部图像有什么安全风险?
- 30. javascript“假隐私”是否构成安全风险?
我会打开开发工具,在具有敏感值的代码中放置一个断点,然后读取它们就好了。或者在浏览器看到它之前使用Fiddler/Wireshark捕获数据。如果您向客户发送信息,他会找到一种方法来阅读它。 – DCoder
不用担心被读取的变量,就像你说的,易于在堆栈上读取。它通过我关心的控制台操纵变量。另外,通过wireshark查看数据只会对纯文本造成影响,对吗?自然界的网络加密缓解MIM攻击是正确的?谢谢! – user2250351
当命中断点时,仍然可以在控制台中操作变量。为什么这是一个问题?无论如何,您应该验证服务器上的所有用户输入... – DCoder