我試圖阻止任何用戶看到位於我的服務器上的文件「x.txt」的內容。用戶可以閱讀此文件嗎?
到目前爲止,我也做了以下內容:
使用直接訪問文件阻止用戶的.htaccess
我的一個頁面使用了Ajax請求來獲取文件的內容並將其存儲在一個變量中。
用戶輸入通過if(x == y)語句與文件內容進行比較。
我的網站的用戶是否有可能訪問這些敏感數據?
我試圖阻止任何用戶看到位於我的服務器上的文件「x.txt」的內容。用戶可以閱讀此文件嗎?
到目前爲止,我也做了以下內容:
使用直接訪問文件阻止用戶的.htaccess
我的一個頁面使用了Ajax請求來獲取文件的內容並將其存儲在一個變量中。
用戶輸入通過if(x == y)語句與文件內容進行比較。
我的網站的用戶是否有可能訪問這些敏感數據?
如果一個ajax調用可以獲取數據,那麼任何流氓或自定義腳本也可以通過相同的ajax調用獲取數據,並且只需對您的網頁進行基本查看,以查看ajax調用是如何獲取數據。或者,只要打開Chrome開發人員工具並查看網絡標籤,任何人都可以看到瀏覽器發出的所有ajax調用的內容。另外,任何知道如何使用瀏覽器調試器的人都可以看到你的代碼所做的任何事情(比如將ajax內容存儲到變量中),所以即使通過網絡加密也不會阻止有人看到你的數據在接收瀏覽器。
如果你想讓你的服務器數據安全,你需要一個不同的設計。
測試用戶輸入與服務器上的某些祕密的安全方式是將客戶端數據發送到服務器,並讓服務器將客戶端數據與服務器主服務器進行比較,從而不會將服務器數據發送到客戶端。
認爲它像一個密碼。您永遠不會將主密碼發送給客戶端,並讓客戶端比較用戶輸入的內容。相反,您會將客戶端輸入的內容發送到服務器,並讓服務器安全地進行比較。這種相同的方法將保護您的數據。
I second this。很好的答案,很好的分解和非常有用的信息:) – 2014-12-07 02:21:41
我不認爲你永遠不想以純文本存儲敏感數據,不管你有多少安全。 – Jrod 2014-12-07 01:14:17
爲什麼你覺得你最近看到一些明星的iCloud賬戶的這些漂亮的照片?當然可以訪問您的敏感數據。正如@jrod提到的,你不想這樣做 – baao 2014-12-07 01:21:29
我只是在概念上問。但是,當然,我將要加密數據。 – user939687 2014-12-07 01:22:12