大量使用jQuery容易受到黑客攻击？

Question

我有一个站点可以执行各种ajax请求，以各种方式操作DOM，并在页面上存储一些（有限的）用户数据。一切都运作良好。

然而，我越来越担心因为网站的大部分代码都是可见的客户端，所以我很容易受到攻击。我有什么办法可以探索这个话题吗？ “雇一个黑客？”在线清单？一定要避免的事情？

Answer 1

如果你正确地设计你的网站，使用Ajax本身并不会使你的网站容易受到javascript注入。以下指南适用于ajax和非ajax体系结构。

1. 您应确保对服务器进行的ajax调用仅传递用于返回相应结果所需的参数。您的应用程序逻辑（SQL查询，可用于推断您在服务器端执行的操作的配置，密钥等）应该仍然存在于服务器上。
2. 您应该清理传递给任何服务的任何数据，以确保它在您允许服务器执行任何操作之前所处的数据类型。
3. 如果您需要访问控制，在处理请求之前，请确保该人员是他们所声称的人。实现此目的的一种方法是在用户最初提供其凭据时向用户返回唯一的访问令牌。然后，他们必须使用该访问令牌进行所有后续请求。有关类似策略的示例，请参阅OAuth 2.0。
4. 您应该确保您在静态（数据库，文件系统等）中保留的所有敏感数据都已加密。您应该尝试限制在应用程序内存中存储敏感数据的时间。
5. 如果您的网站处理敏感数据，请确保您通过SSL（https）发出所有请求。这可确保在从客户端到服务器的过程中对其进行加密，反之亦然。
6. 您可以在将jvd销售给客户之前对其进行模糊处理（通常附带一个缩小器）。这使得黑客更难以确定您的逻辑。任何智能/专用黑客都可能仍然可以理解你的逻辑，但它可以使你的网站成为一个稍微困难的目标。