1
我正在創建一個web應用程序,它將使用大量的ajax調用。該應用程序將保存用戶的個人數據。在阿賈克斯調用變量使用像Id,profile_id,message_id等..完成操作,如添加到配置文件,獲取連接等操作。我應該加密哪些數據以創建安全的ajax調用?
我想打電話,所以安全爲posible。我已在$.post調用中實施了crsf。我必須/應該加密哪些ajax調用的varibales,哪些不是?一個AJAX調用(簡化的)的
實施例:
function post_msg(profile_id, msg) {
var json_data = new Object();
json_data.profile_id = profile_id;
json_data.msg = msg;
var data_str = JSON.stringify(json_data);
$.post("/ajax/get_posts", { data: data_str, csrf_key: "950egg22b771xxxxxxxxxxxxxxxx1a"}, func_that_does_something_with_ret_data);
}
//Some where else in the front-end
$('#button').click(function() {
var msg = $('#input').value();
post_msg(1, msg); //should I encrypt the id?
});
無法保護您的數據。您用JavaScript編寫的任何內容都可以輕鬆顛倒。 – 2012-01-16 11:35:02
@RobW - 在JS中實現公鑰加密是可能的,如果沒有私鑰就不可能實現公鑰加密,但是有太多的其他攻擊向量,這樣做並不是很有用。 – Quentin 2012-01-16 11:36:12
您是否通過HTTP或HTTPS連接到主機?如果您使用HTTPS,那麼我認爲您不需要任何其他形式的加密。 HTTPS應該沒問題。如果您只使用HTTP,那麼可能首先嚐試切換到HTTPS?這會給你比任何其他形式的自定義加密更多。 – Zuljin 2012-01-16 11:37:18