这是我们的两难选择。我们有一个使用JavaScript加密输入的PIN值的应用。这里的风险是加密暴露给公众。虽然它是安全的,因为它使用非对称密钥加密,但仍然容易受到暴力攻击。像攻击者输入PIN值作为试验和错误,加密然后提交请求。为了不让攻击者掌握加密逻辑,我们需要另一种方法来隐藏它。将加密逻辑移动到后端将允许在提交期间暴露PIN(例如,可以由浏览器请求拦截器看到)。
有没有解决方案?
答案 0 :(得分:1)
永远不要在客户端加密,你需要进行后端加密,否则你的逻辑就会受到损害。
在传输敏感信息时始终使用HTTPS以保护其免受第三方的侵害。