我目前正在開發一分錢拍賣網站來測試我的能力在編程的JavaScript和有效地使用AJAX。但是,我遇到了安全問題。首先,我一直在辯論是否應該處理服務器端或客戶端的身份驗證,但已經決定PHP可以更容易地處理這個問題。例如,當用戶通過ajax向服務器上的php文件發送出價時,它會檢查用戶是否已登錄,然後在將出價輸入數據庫之前對數據進行清理。竹Auction拍賣AJAX安全
其次,有沒有什麼方法可以加密或遮蔽正在發送的數據,因爲javascript的開放性似乎會造成相當大的威脅?
謝謝。
因爲您無法控制用戶的瀏覽器將要執行的操作,所以Web應用程序的客戶端固有地不受信任。因此,永不依靠客戶端執行敏感操作。
要回答您的具體問題,請務必在服務器端執行所有身份驗證和授權檢查。 SSL/TLS加密將保護客戶端和服務器之間傳輸的數據,但數據一旦到達客戶端將不可避免地被解密,因此您無法使用加密以某種方式隱藏或保護客戶端的數據,並且仍希望客戶端能夠用它做任何事情。
謝謝,我擔心這可能會發生。無論如何,這並不是什麼大事,我可以處理服務器端的任何嚴重問題。 SSL絕對是一個選項,雖然 –
通過默默無聞的安全性一如既往,一點都不安全。如果您在JavaScript中保存的信息非常敏感,以至於無法看到,並且由於「JavaScript的開放性」而具有風險,它不應該在JavaScript中。
沒有必要這麼諷刺,我高估了JavaScript的用處。 –
@Daniel West:那個帖子裏沒有任何諷刺。通過默默無聞的安全從來就不是安全。 – Ryan
公平點,我從錯誤的角度看問題 –
沒有覺得有需要倒票... –