我应该双重验证服务器和客户端(移动)之间的数据交换吗?

时间:2016-02-02 19:55:33

标签: security mobile conceptual

  1. 我的服务器将一些数据发送到移动应用
  2. 用户对这些数据进行一些操作,并将其他对象发送回服务器,其中包含服务器首先发送的数据(PS:当然这些对象是由移动应用程序通过用户交互创建的)

    3. 在服务器保留移动数据之前,我应该验证其中的服务器数据是否一致吗?因为如果不是,它将导致异常。

      

    但如果你知道它会导致异常,为什么不避免它?

    因为我依赖:

    1. 移动应用程序100%工作并发送一致数据
    2. 请求之间的身份验证,因此它不是伪造的
    3. 额外的开销检查通常的东西是好的,除非有人黑客攻击

1 个答案:

答案 0 :(得分:0)

是的,您应该验证并清理服务器端的所有输入。身份验证无助于完整性。如果我是攻击者,我可以使用CURL绕过您在应用中可能拥有的任何安全控制来发出HTTP请求。

相关问题
最新问题