在WebRTC中公开TURN服务器凭据的安全问题

时间:2015-05-07 18:57:50

标签: javascript security google-chrome webrtc easyrtc

我们在测试环境中的某个应用程序中使用谷歌公共眩晕服务器。而且,我们也安装了转服务器。

问题是 - 当我们运行应用程序时,在javascript文件中,我们已经输入了转向服务器的用户名,密码和服务器地址以便建立连接。

但是,它显示了javascript调试器中的凭据,这是一个安全问题。有人有一个解决方案,我们如何限制从javascript文件显示凭据?

1 个答案:

答案 0 :(得分:8)

TURN密码始终暴露给Javascript。有关最常用的解决方法,请参阅https://tools.ietf.org/html/draft-uberti-behave-turn-rest-00