我最近收到了一个安全问题。它似乎是“中间人袭击”。
假设浏览器向UI服务器发送请求并接收响应。 但是,在浏览器收到响应之前,它会被某些代理(例如fiddler或burpproxy)拦截,持有响应的黑客首先更改它,然后将其发送到浏览器。
实际用户不知道响应已更改。 该应用程序在https(SSL)上运行,然后也被更改了。
我尝试了以下事情。
1-我分析了HPKP(http公钥固定)。旨在解决这些问题,但并非所有浏览器(IE Safari)都支持。
Chrome支持该功能,但我读过一篇文章,甚至Chrome也打算停止对HPKP的支持。
2-我想发送加密的数据并使用javascript在浏览器中解密。 但是,JavaScript逻辑不可能对黑客隐藏。 我听到过几篇文章,据说可以尝试隐藏javascript逻辑,但我们不能确定黑客无法找到它。
请提供一些指导,指导我寻找解决方案以防止此类攻击。
关于, 索拉比