我有一个网站,为此我已经将iOS / Android应用程序的开发外包。
该应用程序的开发人员要求我启用应用程序的跨站点脚本以使用该网站。
现在,我对应用程序开发一无所知,但从网络角度来看,我知道启用XSS存在安全风险。
那么,这个请求合法吗?有没有办法将其限制在应用程序或进行其他安全检查?
答案 0 :(得分:0)
您最好开发API并使用SSL和API密钥保护它。从安全角度来看,应用程序与浏览器不同,只要启用了XSS,任何想出它的人都可以冒充您的应用程序。
像JSON API这样的东西会更安全,并且很容易在iOS和Android上实现。