- 我很好奇是否有任何方法可以让服务器在不知道客户端完全是“友好”代码且不监视 1) 用户输入或 2) 网络请求的情况下验证客户端。
我能想到的唯一方法是,如果浏览器有一个内置的、安全的、隔离的外壳/作用域,可以散列和发送数据(这可以通过补充服务器散列/查找脚本来验证)。
- 是否有任何浏览器支持的(非 DOM)输入/散列方法可以也安装在服务器上以识别真实性或用户输入?我想避免 Chrome 扩展程序和一般的潜在键盘记录,但我不确定是否有任何浏览器支持此功能。
谢谢
编辑
我认为在单独的窗口中进行某种形式的两步验证是最接近的,但我没有 SSL,而且我不喜欢随机“弹出”窗口的显示
最佳答案
如果我对您的问题的理解正确,您是在要求证明输入表单的数据既不是由恶意软件操纵也不是由恶意软件生成的。但是您(作为服务器的运算符(operator))无法控制客户端。
只要您无法控制客户端,这是不可能的,因为在网络级别无法区分用户生成的数据和软件生成的数据,而这就是您在服务器上获得的全部信息。甚至浏览器扩展生成的输出也可以伪造。
I think some form of 2-step auth would be the closest
2FA 仅与客户端身份验证相关,无法防止用户生成的数据被篡改。
SSL alternative for secure handshake?
SSL 仅保护传输,并不能防止在恶意浏览器扩展或类似内容中修改用户输入。它也不能防止客户端计算机中间的恶意人(即 Superfish 或类似的)。
关于javascript - 用于安全握手的 SSL 替代方案?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38801444/