我的任务是涉及大量动态设计的Web应用程序项目。
我将使用带有基于令牌的身份验证的Node.js构建RESTful API,最初我考虑为基于Web的UI构建另一个Node.js应用程序,但现在我已经有了API的基本设计,我想知道在浏览器上使用JavaScript实现所有UI逻辑是否可行?
它将涉及一个HTML页面,其中包含将从API获取/发布数据的JavaScript,并相应地更新DOM,此外,我会在cookie中保存身份验证令牌,浏览器中的JavaScript将执行从登录中执行的所有操作通过RESTful API更新/删除/创建各种数据。
我没有听到任何类似的内容,有任何安全问题吗?如果受到攻击,API服务器将获得大量请求。
答案 0 :(得分:1)
无论流量或代码量如何,安全问题都是相同的。
这几乎就是安全的程度。无论应用程序的客户端代码有多复杂,任何攻击者都可以对任何API进行任何轰炸请求。
假设客户端代码可能根本不执行。假设您无法控制客户端代码。假设必须验证到达API的每个请求。假设进入API的任何输入都不可信任。等
基本上没有其他安全问题,这些问题在任何最简单的Web应用程序中都不存在。