我目前正在开发一个便士拍卖网站,以测试我在编程javascript和有效使用AJAX的能力。然而,我遇到了安全问题。
首先,我一直在争论身份验证应该由服务器端还是客户端来处理,但我最终决定PHP可以更容易地处理这个问题。例如,当用户通过ajax向服务器上的php文件发送投标时,这将检查用户是否登录,然后在投标进入数据库之前对数据进行处理。
其次,是否有任何方法加密或模糊正在发送的数据,由于javascript的开放性,它似乎构成了相当大的威胁?
谢谢。
web应用程序的客户端本质上是不受信任的,因为你无法控制用户的浏览器将要做什么。因此,永远不要依赖于客户端执行敏感操作。
要回答您的特定问题,必须在服务器端执行所有身份验证和授权检查。SSL/TLS加密将保护在客户端和服务器之间传输的数据,但是数据一旦到达客户端将不可避免地未加密,所以你不能使用加密来隐藏或保护客户端的数据,仍然期望客户端能够对它做任何事情。
一如既往,通过模糊实现的安全性根本不是安全性。如果你在JavaScript中保存的信息非常敏感,无法被看到,并且由于"JavaScript的开放性"而存在风险,那么它不应该在JavaScript中。