我正在处理信用卡处理网络应用程序。该应用程序使用HTTPS(TLS)。但是,输入页面(jsp)使用javascript将信用卡信息从原始表单复制到另一个隐藏表单。这是否代表使用单个表单的上述任何安全问题?黑客可以改变javascript来窃取HTTPS连接上的数据吗?我们有一个站点证书。
答案 0 :(得分:2)
不,如果“黑客”可以访问页面上的javascript,他们可以找到您是否使用javascript操纵它们的详细信息,就像您一样。
答案 1 :(得分:0)
修改DOM中的页面对象受浏览器中的Same Origin Policy保护。如果您仅在同一域内操作它,则不会增加额外的风险。如果您使用JavaScript将卡数据发送到您无法控制的域之外,那么这只会成为一个问题。
同源策略是Web应用程序安全模型中的一个重要概念。该策略允许在源自同一站点的页面上运行的脚本 - 方案,主机名和端口号1的组合 - 在没有特定限制的情况下访问彼此的DOM,但阻止在不同站点上访问DOM