我正在创建一个web应用程序,它使用JQuery的AJAX调用来处理所有浏览器不一致的问题。
然而,由于代码很容易从浏览器中读取,我担心可以使用哪些安全措施来保护web应用程序免受攻击。
很明显,我将对服务器端代码进行身份验证检查,以确保他们能够访问他们试图访问的数据。然而,我也一直在努力寻找阻止CSRF攻击的方法,以及"模糊"代码的方法,使其不容易通过浏览器中的View Source读取。
我应该采取哪些措施来确保安全处于良好水平?
另外,通过PHP将数据注入jquery脚本是个坏主意吗?
谢谢!
您的主要问题没有简单的答案。你应该阅读OWASP关于CSRF预防的指南,然后从那里开始。
还有很多模糊javascript的选项,但没有一个能提高代码的安全性。如果攻击者真的想读取你的模糊代码,他可以手动挑选,或者为其编写解析器,然后简单地对其进行去模糊处理。这不是一种可行的安全技术。
另外,通过PHP将数据注入jquery脚本是个坏主意吗?
只要你对世界看到这些数据没有问题,不,这不是一个坏主意。如果数据是敏感的,您可能希望将其保留在服务器端,或者使用salt对其进行散列,然后将散列后的值插入到脚本中。当然,这个散列在客户端是不可用的,因为你不能在客户端的任何东西中包含你的salt(这将首先破坏混淆数据的目的)。如果您想利用这些数据,您需要将其ajax回您的服务器并在那里进行处理。