您如何看待Angular 4中的漏洞?因为它在客户端。
我想用密钥(Javascript AES)加密数据并将其发送到我的API。在此之后,我将解密我的api中的数据。
你认为这是一个漏洞吗?
谢谢
答案 0 :(得分:1)
首先,澄清一下。使用HTTP(S)已经加密了您的数据。使用WireShark等应用程序来确认这一点。建议不要使用HTTP(不是HTTPS),因为有效负载可以作为纯文本在网络中读取。
如果您仍需要进一步加密(我会质疑为什么)。
其次,它取决于您存储数据的位置(我假设它是敏感的)。如果您在浏览器中存储任何内容(本地存储),那么我强烈反对这一点,因为它不安全。原因是因为任何人都可以使用以下方式阅读此类数据:
var yourSensitiveData = localStorage.getItem("your-data");
如果要将数据保存到会话存储,那么如果正确实施,这是安全的,因为只能在运行会话的客户端和服务器之间访问数据。
希望这会有所帮助。