构建驱动大多数UI事件的应用程序 通过Ajax调用,我们创建了更好的用户体验,但存在额外的安全风险 因为有更多信息暴露给用户浏览器 存储在服务器上。具体而言,确定价值。
除了额外的后端验证 - 我很好奇其他什么“最好的 在客户端传递ID时,存在“存在”。我已经 看到诸如在向客户端发送之前对其进行散列或加密,但不知道是否存在任何其他选项。
答案 0 :(得分:0)
据我所知,使用https是发送/接收重要信息的最佳做法。
答案 1 :(得分:0)
这个问题让我想起WCF如何构建传输(SSL)与Message安全性。您拥有的安全层次越多,从长远来看您的安全性就越高。如果你的门只有旋钮手柄锁而不是锁舌,你有多安全?
您最好的选择是对您认为对您的应用程序敏感的元素使用传输(SSL)和消息保护。您需要一些可识别的令牌,但您应始终将令牌加密 - 就像您存储客户端cookie一样。不允许用户询问您希望保密的ID。
加密方案各不相同 - 但您可以实现任何您认为提供所需保护级别的方法。