2
我的一个客户说他可以使用burp套件查看html和javascript。我们在客户端和服务器端使用了angularjs,我们使用了webapi。Angularjs和打嗝套装
他说他不应该在html页面看到敏感数据。我可否知道这将是什么解决方案。
A
回答
1
首先,JavaScript和HTML文件是那些应该发送给用户的数据。 因此,如果您有任何不应透露给用户的敏感数据,请不要将它们包含在JavaScript和HTML中。
作为一种最佳实践,为了保护您的客户端业务逻辑(并提高页面加载性能),通常推荐使用uglify和minify您的JavaScript文件。以这种方式,他们变得人类难以辨认。
但请记住,uglifying不会加密您的数据。例如,如果您想要在网页上显示您的银行账户余额,可能会有一个JavaScript变量bankAccountBalance=100可能会重命名为b=100(人类无法读取),但其值始终为您银行账户中的实际数字,即,100。
HTML can be minified as well(它应该是)。但它只是有助于消除换行符,额外空间等。它不保护您的数据。
+0
在html页面中,我们使用了{{}}表达式并且绑定了一些像{{x.sno}}这样的内容。所以客户说它是我们不应该在burp套件中显示的敏感信息,并且我想让你知道从服务器发送和接收的数据是否被加密。如果我们有任何安全问题,这是一个非常敏感的信息。 –
+0
据我所知,这不是一个安全问题。我可以推荐说服客户:1.将变量重命名为不同于数据库中的字段名称; 2.使用'ng-cloak'或'ng-bind'(不是{{}}')来防止向最终用户显示{{}}。 – Joy
相关问题
- 1. 打嗝安装Node.js和NPM
- 2. 验证码与打嗝套件
- 3. 设置打嗝套件的问题
- 4. iPad MPMoviePlayer打嗝
- 5. clojure/compojure /打嗝NullPointerException
- 6. 编译打嗝在C++和.o文件
- 7. 打嗝1.0.0-beta1错误
- 8. 每10分钟打嗝一次攻击
- 9. 如何描述打嗝的表现?
- 10. 在打嗝中改变div颜色
- 11. 打嗝形式辅助用的Compojure
- 12. 处理Internet连接打嗝和数据库连接
- 13. 如何将Windows 8中的网络流量重定向到打嗝套件?
- 14. Windows Phone 7 - 打开音频流的打嗝
- 15. soTimeout从你打电话的那一刻开始打嗝?
- 16. 客户端未能协商ssl连接:共同没有密码套件 - 打嗝套件
- 17. AngularJS和打字稿广播
- 18. AngularJS和打字稿与SingalR
- 19. jQuery的包装套以打开和关闭标签元素
- 20. jQuery slideToggle:在IE 8中滑动后打嗝
- 21. 修复地面碰撞代码中的“打嗝”?
- 22. 打嗝条件,我可以使这更加地道?
- 23. 如何拦截在互联网使用打嗝浏览器
- 24. 预加载器挂起/用“打嗝”冷冻
- 25. 使用打嗝渲染异步脚本标记
- 26. 在iPhone上实现OpenAL时的声音播放延迟(打嗝)
- 27. 奇怪的打嗝从阵列中删除重复项
- 28. 打嗝的代码,而不(做(HTML5在每个级别
- 29. 试图显示大图像作为瓷砖没有打嗝
- 30. Xbox One上的统一 - 相机/刚体视觉运动打嗝
我想你需要缩小和uglify JavaScript文件。 – Joy
HTML –
HTML可以缩小,但它不保护您的数据。如果您将敏感数据放入HTML中,请将其移至JavaScript。 – Joy