我需要一個底層web/javascript安全。如何在Web應用程序中使用Javascript安全地訪問Windows Azure移動服務?
據How to use an HTML/JavaScript client for Windows Azure Mobile Services,在客戶端的JavaScript,其中包括一個鏈接到MobileServices.Web-1.0.0.min.js
後,你應該創建一個客戶是這樣的:
var MobileServiceClient = WindowsAzure.MobileServiceClient;
var client = new MobileServiceClient('AppUrl', 'AppKey');
這意味着包括我在網頁上的JavaScript的AppKey 。我應該擔心AppKey被公開嗎?
而且,它似乎很容易有人在放一個XHR斷點閱讀X-ZUMO-APPLICATION
和X-ZUMO-AUTH
頭,而在已記錄時,這樣做的用處有所用跨域資源共享白名單減少使得REST調用,但是如何阻止某人使用這些信息將JavaScript添加到頁面並對我的後端數據庫執行任意操作?在這種情況下,將表權限限制爲已通過身份驗證的用戶將無濟於事。
我需要關心嗎?銀行應用程序對這類事情做些什麼?
X-ZUMO-AUTH標題值不是特定於用戶的。它是所有客戶使用的應用程序密鑰,並且是相同的。這只是停止隨機訪問。 –
這是不正確的。 X-ZUMO-AUTH **特定於登錄用戶**。您可能正在考慮X-ZUMO-APPLICATION。 – carlosfigueira
我的不好。這是X-ZUMO_APPLICATION。抱歉carlosfigueira。 –