关于 JavaScript 安全性的简单问题。我目前正在编写一个小型应用程序,帮助用户操作 XML 文档。该应用程序是随页面加载的 JS 脚本,用户上传该脚本处理的文件。
我想知道这个系统对于本地计算机之外的人来说有多开放,可以访问显示在用户屏幕上的 DOM。与服务器的唯一通信是在页面加载时初始下载脚本以及发送要由服务器处理的字符串。我不关心字符串部分的发送,只关心访问用户当前正在使用的屏幕上显示的信息以及在 DOM 中找到的任何数据是否容易。
感谢您提前提供的任何帮助!如果问题根本不清楚,请告诉我!
最佳答案
假设:
- 您未在页面中包含任何第三方内容
- 正在使用 SSL 加密连接来避免中间人攻击/内容注入(inject)
- 用户实际上正在关注 SSL 证书(查找 SSL 代理/连接终止以及由中间受信任的人重新协商)
- 用户的计算机是干净的(即没有恶意软件、恶意浏览器插件等)
它应该尽可能安全。如果上述任何一点不成立,系统就不能再被完全信任。如果在这些点的任何地方引入任何第三方脚本/内容/程序,则实际上不可能保证不被观察到的通信。
关于JavaScript 安全性 - 外部人员对 DOM 的访问,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18537067/