假设我们有一个应该 super 安全的 token ,它位于内存中的一个 javascript 变量中。黑客有没有可能从内存中抓取 token ?
我正在评估是否应该为高度敏感的数据添加额外的加密技术。
这可能包括通过 JSON 或 CSV 加载到浏览器中的计算数据。我们希望确保它不受任何类型的进程的影响,这些进程可能会读取内存中的 javascript 浏览器对象。
最佳答案
是(可能)。根据执行 javascript 的内容,无论是服务器上的 nodejs 还是客户端上的浏览器,它都在某处的进程中运行。大多数现代操作系统保护用户进程中的数据免受作为不同用户运行的进程的影响。但是,以同一用户身份运行的进程通常具有相互影响的能力。如果您的进程需要将 javascript token 的敏感内存内容与可能已访问同一操作系统的攻击者隔离开来,则您必须以独立于攻击者的用户身份运行该进程,以确保安全。如果您在浏览器中运行它,那么请考虑恶意用户或在无辜用户的操作系统上运行的恶意软件可读(和可写)该 javascript 负载中的所有内容。如果您在您控制的环境中运行 javascript,那么您当然可以通过以同一操作系统上其他(恶意)用户无法访问的用户身份运行该进程来隔离该进程。
如果要发送到在不受信任的客户端环境中运行的 javascript 应用程序的 token 包含您不想公开的信息,请在服务器端对其进行加密,并且不要将 key 发送到客户端进行解密
关于javascript - 是否可以通过外部方式从 WebApp 的内存 javascript 对象中获取数据?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56452557/