我试图做的是构建一个 javascript 库,它将在外部网站上接受经过身份验证的用户,并将一些识别信息安全地传递到我的服务器以检索 Web 内容,然后将其提供在 iframe 上外部站点。
现在,我的问题是 Javascript 不安全。这实际上是一个大问题。
假设
- 拥有外部站点的公司可能几乎没有 IT 基础设施。
- 我将无法访问他们的服务器或代码。出于这个原因,我想让他们在页面上添加一个 javascript include 和几行 html/javascript。
- 外部网站可以使用任何语言并托管在任何平台上。我的后端是.net 4.0
如何安全地将用户详细信息从外部服务器获取到我的服务器,同时确保不会发生篡改?欢迎任何建议或想法。
最佳答案
据我所知,这无法使用纯 JavaScript 来完成。
您总是必须与远程服务器对话并询问它用户是否真正登录。从 JavaScript 获得的任何内容都是不可靠的,因为它可以被随意伪造。
您可以让远程服务器向 JavaScript 提供随机 token ,然后将其发送到您的服务器(就像 session ID 一样)。然后,您的服务器可以询问远程服务器 token 是否有效,并显示必要的数据。
不过,如果没有远程服务器的参与,它就无法工作。没有办法解决这个问题。
关于javascript - Javascript API 的安全性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4216429/