2012-12-14 133 views
7

我是新開發的Html 5智能手機和平板電腦,目前在項目Html 5,CSS,jQuery Mobile和PhoneGap。安全jQuery Mobile + Phonegap

應用程序通過XMLHttpRequest通過SOAP Web服務執行與服務器的通信。如果我不得不求助於插件,數據加密等,我只需要在安全性方面使用所有我需要考慮的安全問題。

驗證用戶名和密碼是不是使用表單。不要在頁面之間傳遞參數。我沒有使用PHP。我不知道它是否可以繞過代碼的可見性,因爲我正在爲Android和iOS開發。

對於我暫時沒有經驗的使用全局變量的.JS來保存用戶名和密碼以訪問其他Web服務方法。 請在這個安全問題上請求幫助,因爲我不知道從哪裏開始,繼續並完成。

謝謝!

+0

關於保護肥皂的鏈接 - http://msdn.microsoft.com/en-us/library/aa480522.aspx – nycynik

回答

3

沒有的PhoneGap的&安全提供了非常詳細的分類:https://github.com/phonegap/phonegap/wiki/Platform-Security

簡而言之,如果你關注的是數據的「空中」的傳輸,使用服務器的SSL,以同樣的方式你會在一個Web應用程序。如果您擔心設備加密,它將委派給操作系統的默認安全機制。

+0

非常感謝所有答案! – Victor

0

與web應用程序一樣的安全性和考慮因素,從您的phonegap項目中切勿使用像pais,stackmob,google或bing地圖這樣的私鑰。

2

您的特殊技術堆棧與其他任何Web應用程序沒有區別。您仍然很容易受到大量漏洞的攻擊。

從它的聲音,你只關心客戶端漏洞,你應該考慮到。如果是這種情況,則應考慮許多事項。

  1. 如果您使用的是HTML5,請確保您使用的任何本地API都受到保護。 OWASP有一個很好的遵循https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet的最佳實踐列表,其中一些可能適用於您的特定應用程序。
  2. 您將要爲XSRF或CSS(跨站腳本或XSS)實施的任何類型的防禦將徒勞無功。唯一能夠全面工作的防禦類型是在應用程序的服務器端實現的(本例中爲PHP)。
  3. 此外,如果您希望數據在SSL中傳輸時加密,則必須由服務器(SOAP Web服務端點)處理。如果這無法實現,那麼一個更復雜的替代方法是使用WS-Security(http://en.wikipedia.org/wiki/WS-Security
0

除了與其他意見跟進......我會建議使用HTTPS/SSL +的OAUTH(或其他一些基於令牌的機制)通過用戶名/密碼與每個請求...雖然簡單的HTTP身份驗證的作品。