我们目前正在开发一个使用带有JSON的AJAX与服务器通信的Web客户端。客户端基于gwt,通信通过https。
浏览器工具可以轻松检查通信 - 是否有一些合理的方法可以隐藏用户,即保护协议?
答案 0 :(得分:2)
除了所有浏览器使用的标准身份验证和加密技术之外,无论您采用何种方法,都必须由JavaScript客户端启动。这意味着优秀的黑客可以解构您的JavaScript并找出您提交数据的方式。
安全性通常涉及试图拦截通信或构成合法用户的第三方,或试图访问不应该访问的恶意用户。一旦您确认用户是合法的,为什么要尝试隐藏用户的用户数据?也许你可以描述你的用例。
编辑:
防止僵尸程序的唯一方法是在工作流程的某个地方(即在提交重要数据之前)提出只有人可以回答的问题(例如Captcha)。这对用户来说通常很烦人,但没有别的办法。自从您构建游戏平台以来,请让您的设计师进行一些有趣的验证。
答案 1 :(得分:1)
刚刚完成安全检查清单
1)HTTPS - 您已经设置了它:)
2)Json和XSS / XSRF网络安全 -
https://developers.google.com/web-toolkit/articles/security_for_gwt_applications#json-xsrf
https://developers.google.com/web-toolkit/articles/security_for_gwt_applications#json
3)BOT攻击 - 一个不错的验证码 - Captcha in GWT Widget
4)杂项 - https://groups.google.com/forum/?fromgroups=#!topic/google-web-toolkit/_gViO5aZ-WQ