我正在创建一个使用 JQuery 的 AJAX 调用的 Web 应用程序,因为它可以处理所有浏览器的不一致问题。
但是,由于代码很容易从浏览器中读取,因此我担心可以使用哪些安全措施来保护 Web 应用程序免受攻击。
我显然会对服务器端代码进行身份验证检查,以确保他们可以访问他们尝试访问的数据。然而,我也一直在尝试研究阻止 CSRF 攻击的方法,以及研究“模糊”代码的方法,以便通过浏览器中的“查看源代码”不容易读取代码。
我应该采取哪些步骤来确保安全性处于良好水平?
通过 PHP 将数据注入(inject) jquery 脚本也是一个坏主意吗?
谢谢!
最佳答案
您的主要问题没有简单的答案。您应该阅读OWASP guide on CSRF prevention然后从那里开始。
有很多选项可以混淆 javascript,但它们都不会提高代码的安全性。如果攻击者确实想阅读您的混淆代码,他可以手动挑选它或为其编写一个解析器,然后简单地对其进行去混淆。不是一种可行的安全技术。
Also is injecting data into a jquery script via PHP a bad idea?
只要你不介意让全世界看到这些数据,这并不是一个坏主意。如果数据敏感,您可能希望将其保留在服务器端,或使用盐对其进行哈希处理,然后将哈希值插入脚本中。当然,这个哈希在客户端是相当不可用的,因为你不能在客户端的任何内容中包含你的盐(这首先会破坏混淆数据的目的)。如果您想使用该数据,您需要将其 ajax 返回到您的服务器并在那里进行处理。
关于php - 保护 JQuery AJAX 代码的指南?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8821905/