我的团队将开发一个员工门户来管理所有与人力资源相关的要求。它将使用Cordova / Phonegap开发。
因为我们在Cordova中使用WebView,所以所有资源文件:HTML,JS,CSS都将默认包含在APK文件中。所有用户都可以查看这些资源文件,这些文件可以是HTML表单,也可以是JS文件中的所有逻辑。
当所有用户(即使没有登录)都可以查看所有HTML和JS文件时,是不是不好主意或者不用担心什么?因为在我看来,他们可以利用所有表单,因为他们知道HTML表单中的端点URL和所有POST字段。
如果他们可以在登录后查看表单和字段(在基于Web的应用程序中通常会发生这种情况),这是没有问题的,但是对于尚未登录的其他人来说,他们可以做到这一点。
在服务器端,确保我们有额外的验证来防止攻击者,但是当所有用户都知道Endpoint和所有POST字段时,他们距离黑客还有一步,对吗?
再一次,是不是不好主意或不担心的事情?以及如何保护资源文件?现在我不知道。
答案 0 :(得分:1)
在The Worst PhoneGap Security Issues And How To Avoid Them
之后阅读本文列出的问题列出了解决方案
问候。