我目前正在开发一个便士拍卖网站,以测试我在编程javascript和有效使用AJAX方面的能力。但是,我遇到了安全问题。
首先,我一直在争论是否应该在服务器端或客户端处理身份验证,但是已经决定PHP可以更轻松地处理这个问题。例如,当用户通过ajax将出价发送到服务器上的php文件时,这将检查用户是否已登录,然后在将出价输入数据库之前清理数据。
其次,有没有办法加密或模糊发送的数据,因为javascript的开放性质似乎会构成相当大的威胁?
感谢。
答案 0 :(得分:2)
Web应用程序的客户端本质上是不可信的,因为您无法控制用户的浏览器将要执行的操作。因此,从不依赖客户端执行敏感操作。
要回答您的具体问题,请务必在服务器端执行所有身份验证和授权检查。 SSL / TLS加密将保护客户端和服务器之间传输中的数据,但是一旦到达客户端,数据将不可避免地被加密,因此您无法使用加密以某种方式隐藏或保护来自客户端的数据,并且仍然期望客户端能够做任何事情。
答案 1 :(得分:1)
一如既往,通过默默无闻的安全根本不是安全。如果您在JavaScript中保存的信息非常敏感而无法看到,并且由于“JavaScript的开放性”而存在风险,则不应该使用JavaScript。