开发主干应用程序时可能面临的安全风险有哪些。有人可以告诉我减轻此类风险的最佳实践吗?
就像在路由器中一样,任何用户都可以找到被调用的服务
最佳答案
保护 Backbone 应用程序或任何其他客户端的 secret 在于您不依赖客户端验证。请务必在服务器上进行验证。
例如,如果您正在构建一个银行应用程序,您不会使用 Backbone 在用户帐户之间转移 100 美元,然后将新帐户余额作为模型更新发送回服务器。您可以将用户转账 100 美元的意图发送到服务器,然后让服务器发回新余额。通过这种方式,服务器可以安全地确定用户在账户之间进行此类转账的授权,确定是否存在足够的资金等。
客户端验证有助于减少往返次数并向用户提供即时反馈,但不应将其视为保护应用程序的方法。例如。在将电子邮件地址发送到服务器(应该在服务器端再次验证)之前验证客户端上的电子邮件地址格式或密码强度是客户端验证的一个很好的例子。
对于 Web 服务,有不同的方法来保护它们。例如,您可以使用 HTTPS 或基于 token 的身份验证。
关于backbone.js - Backbone 安全问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10529335/