我正在创建一个使用JQuery的AJAX调用的Web应用程序,因为它处理所有浏览器的不一致性。
但是,由于代码非常容易从浏览器中读取,因此我担心可以使用哪些安全措施来保护Web应用程序免受攻击。
我显然会对服务器端代码进行身份验证检查,以确保他们可以访问他们尝试访问的数据。但是,我也一直试图寻找阻止CSRF攻击的方法,并研究如何掩盖'模糊'代码,因此无法通过浏览器中的View Source轻松阅读。
我应该采取哪些措施来确保安全性处于良好水平?
还是通过PHP将数据注入到jquery脚本中这是一个坏主意吗?
谢谢!
答案 0 :(得分:2)
你的主要问题没有简单的答案。您应该阅读OWASP guide on CSRF prevention并从那里开始。
并且有很多选项可以混淆javascript,但它们都不会增加代码的安全性。如果攻击者真的想要阅读你的混淆代码,他可以手工挑选它或者为它编写一个解析器并简单地对其进行去混淆。不是一种可行的安全技术。
还是通过PHP将数据注入到jquery脚本中这是一个坏主意吗?
只要您对世界看到这些数据没有任何问题,这不是一个坏主意。如果数据是敏感的,您可能希望将其保留在服务器端,或者使用salt对其进行哈希处理,然后将哈希值插入脚本中。当然,这个哈希在客户端是相当不可用的,因为你不能在任何客户端包含你的盐(这将首先破坏混淆数据的目的)。如果您想要使用这些数据,您需要将其重新发送回服务器并在那里进行处理。