我正在设计一个门户,我必须向服务器发送请求并从中获得响应。由于我正在用javascript [AJAX]编写完整的代码,因此很难保护我正在使用的URL。右键单击 - >查看页面源将使整个脚本,URL的裸体!Safeguard javascript [AJAX]代码?
我知道这是不可能通过在javascript中写入来保护您的代码100%,有没有办法做到这一点?任何其他语言?
我正在设计一个门户,我必须向服务器发送请求并从中获得响应。由于我正在用javascript [AJAX]编写完整的代码,因此很难保护我正在使用的URL。右键单击 - >查看页面源将使整个脚本,URL的裸体!Safeguard javascript [AJAX]代码?
我知道这是不可能通过在javascript中写入来保护您的代码100%,有没有办法做到这一点?任何其他语言?
不可以。用户的浏览器和用户的服务器密码之间不能保持通信。
如果你不想让用户知道某些东西,不要让浏览器知道它。
Facebook,Twitter如何做? – user1617207 2013-04-04 11:59:10
@FabrícioMatté:我这样做,我们正在做谷歌身份验证,这是安全的,但即使在身份验证后,服务器的URL仍是裸体。如果黑客可以到达服务器。他可能需要15-20分钟才能毁掉整个架构:)我担心这种情况! – user1617207 2013-04-04 12:02:22
Facebook和Twitter不会保留他们向用户发送给浏览器的数据。他们对用户进行身份验证并拒绝用户未被授权的请求。 – Quentin 2013-04-04 12:10:30
任何提供公共API的东西都必须绝对偏执,不仅要验证每个请求,还要确保已验证的用户具有执行请求的必要授权。
如:删除/文件/ 4
即使你希望自己的网站成为您的API的唯一消费者和你不打算宣传,或将其记录下来,你仍然有含蓄地将其公开。
是的,你清理用户输入并在后端添加验证,那么你很安全。 – 2013-04-04 11:41:56