让我们假设 HTML5 网页具有适当的服务器端背景,以便 http://www.my-site.com/execute?query= “SELECT * FROM Table”通过 AJAX 执行并返回结果。确实不太聪明。
但是在混合移动应用程序的上下文中,即 iOS/Android/WindowsPhone 包装器/骨架中的 HTML5 应用程序通过适当的商店作为应用程序交付时怎么样?
问:在混合移动应用环境中,我们认为 JavaScript 安全吗?
最佳答案
我会说不。
如果有人查看您的网络通信,或者您可能不小心忘记了一些调试日志记录,那么找到 URL 可能相当容易。 当在浏览器(移动或桌面)中调用时,查询也可能有效。
当然,您可以问自己:您的移动应用程序有多受欢迎,是否有人会尝试破解它。但我不会打赌。
编辑:我们通常使用类似(REST)API 的东西,来自服务器的答案是 JSON,然后由客户端解析。不要让任何人能够输入 SQL 查询!
答:就 iOS 上的“安全”而言:您可以使用以下方式浏览设备:我的探索者。在 Android 上,也有一些方法(root 设备或 adb)。考虑到phonegap结构,您的javascript将位于“assets_www”文件夹或类似文件夹中。因此,如果有人愿意,他/她可以像在网络上一样查看 javascript 源代码。
关于混合移动应用程序中的 JavaScript 安全风险,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23799430/