我从后端成功实施了HMAC验证,但希望提供JSONP支持。由于我不希望客户端知道密钥,因此利用HMAC和从客户端拨打电话的最佳方式是什么?
答案 0 :(得分:3)
如果攻击者知道密钥,那么他将始终能够生成有效的HMAC。攻击者可以通过looking at the traffic或by modifying the JavaScript获取此HMAC值。也可以使用像firebug这样的JavaScript调试器。
简而言之,这种安全功能在任何地方都不存在,因为它完全没有价值。听起来您正在非常谨慎地实施CWE-602违规行为。
信任客户是您可能犯的最大错误。现代Web应用程序安全性的基础是保护服务器免受客户端的侵害。我觉得你有很多需要学习的东西。