我正在构建第三方小部件
我们在客户端页面上删除脚本并加载一些内容。
我面临的问题是如何保护我的小部件。作为一个第三方小部件我知道没有100%的方法来保护它。但是试图找出一个“足够好”的方法。
我想让非客户很难将我们的脚本从他们的竞争对手网站上删除并在他们的网站上使用它。
我看到的解决方案是拉验证请求域(我知道这可能是欺骗,不确定我是否可以防范这个?)
我看过像olark和olapic这样的其他小部件,他们在脚本中使用每个客户端的唯一ID,但看不出它有多大帮助。
保护第三方窗口小部件的最佳做法是什么?
答案 0 :(得分:2)
保护租户的第三方客户端访问您的Javascript带来了一系列独特的挑战。此解决方案中的大多数困难源于以下事实:身份验证机制必须存在于租户Web内容中并从其客户端浏览器传递。由于交易的扩展性质,标准客户端<>服务器身份验证机制(如会话,Cookie,自定义标头,引荐和IP地址限制)不适用。
Bill Patrianakos的This article通过使用动态密钥请求提供解决方案,该请求为租户的客户提供访问令牌。
Patrianakos提供了一些关于第三方租户关系的好信息,并在他的文章中讨论了该模型的一些局限性。
由于要求客户端浏览器在运行时解释代码,因此难以在Javascript中保护代码。但是,可以使用Google Closure Compiler对您的Javascript进行模糊处理。编译器的advanced optimization功能提供了低级引用重命名,并且还提供了更紧凑的代码来传递窗口小部件。
要使用高级优化编译Javascript,请使用以下命令行:
java -jar compiler.jar --compilation_level ADVANCED_OPTIMIZATIONS \
--js myWidget.js --js_output_file myWidget.min.js
有一些重要的警告。 This article涵盖了代码中要避免的一些事项,以确保代码能够正常运行。我还建议使用一个好的qunit测试框来确保您的小部件能够正常运行。
答案 1 :(得分:1)
为了保护小部件,如果您想要阻止伪造的请求,那么您需要打开一个弹出窗口并从您的服务器打开一个完全由您控制的页面,并确认任何操作,例如发布推文和#39 ;那里。
有关此问题的详情,请参阅answer。
为了防止您的Javascript被盗,缩小是不够的 - 使用混淆器会更好。看看[JScramble]的例子,这是一个presentation如何工作。