安全jQuery Mobile + Phonegap

Question

我是新開發的Html 5智能手機和平板電腦，目前在項目Html 5，CSS，jQuery Mobile和PhoneGap。

應用程序通過XMLHttpRequest通過SOAP Web服務執行與服務器的通信。如果我不得不求助於插件，數據加密等，我只需要在安全性方面使用所有我需要考慮的安全問題。

驗證用戶名和密碼是不是使用表單。不要在頁面之間傳遞參數。我沒有使用PHP。我不知道它是否可以繞過代碼的可見性，因爲我正在爲Android和iOS開發。

對於我暫時沒有經驗的使用全局變量的.JS來保存用戶名和密碼以訪問其他Web服務方法。 請在這個安全問題上請求幫助，因爲我不知道從哪裏開始，繼續並完成。

謝謝！

Answer 1

沒有的PhoneGap的&安全提供了非常詳細的分類：https://github.com/phonegap/phonegap/wiki/Platform-Security

簡而言之，如果你關注的是數據的「空中」的傳輸，使用服務器的SSL，以同樣的方式你會在一個Web應用程序。如果您擔心設備加密，它將委派給操作系統的默認安全機制。

Answer 2

與web應用程序一樣的安全性和考慮因素，從您的phonegap項目中切勿使用像pais，stackmob，google或bing地圖這樣的私鑰。

Answer 3

您的特殊技術堆棧與其他任何Web應用程序沒有區別。您仍然很容易受到大量漏洞的攻擊。

從它的聲音，你只關心客戶端漏洞，你應該考慮到。如果是這種情況，則應考慮許多事項。

1. 如果您使用的是HTML5，請確保您使用的任何本地API都受到保護。 OWASP有一個很好的遵循https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet的最佳實踐列表，其中一些可能適用於您的特定應用程序。
2. 您將要爲XSRF或CSS（跨站腳本或XSS）實施的任何類型的防禦將徒勞無功。唯一能夠全面工作的防禦類型是在應用程序的服務器端實現的（本例中爲PHP）。
3. 此外，如果您希望數據在SSL中傳輸時加密，則必須由服務器（SOAP Web服務端點）處理。如果這無法實現，那麼一個更復雜的替代方法是使用WS-Security（http://en.wikipedia.org/wiki/WS-Security）

Answer 4

除了與其他意見跟進......我會建議使用HTTPS/SSL +的OAUTH（或其他一些基於令牌的機制）通過用戶名/密碼與每個請求...雖然簡單的HTTP身份驗證的作品。