我的一個客戶說他可以使用burp套件查看html和javascript。我們在客戶端和服務器端使用了angularjs,我們使用了webapi。Angularjs和打嗝套裝
他說他不應該在html頁面看到敏感數據。我可否知道這將是什麼解決方案。
我的一個客戶說他可以使用burp套件查看html和javascript。我們在客戶端和服務器端使用了angularjs,我們使用了webapi。Angularjs和打嗝套裝
他說他不應該在html頁面看到敏感數據。我可否知道這將是什麼解決方案。
首先,JavaScript和HTML文件是那些應該發送給用戶的數據。 因此,如果您有任何不應透露給用戶的敏感數據,請不要將它們包含在JavaScript和HTML中。
作爲一種最佳實踐,爲了保護您的客戶端業務邏輯(並提高頁面加載性能),通常推薦使用uglify和minify您的JavaScript文件。以這種方式,他們變得人類難以辨認。
但請記住,uglifying不會加密您的數據。例如,如果您想要在網頁上顯示您的銀行賬戶餘額,可能會有一個JavaScript變量bankAccountBalance=100
可能會重命名爲b=100
(人類無法讀取),但其值始終爲您銀行賬戶中的實際數字,即,100
。
HTML can be minified as well(它應該是)。但它只是有助於消除換行符,額外空間等。它不保護您的數據。
在html頁面中,我們使用了{{}}表達式並且綁定了一些像{{x.sno}}這樣的內容。所以客戶說它是我們不應該在burp套件中顯示的敏感信息,並且我想讓你知道從服務器發送和接收的數據是否被加密。如果我們有任何安全問題,這是一個非常敏感的信息。 –
據我所知,這不是一個安全問題。我可以推薦說服客戶:1.將變量重命名爲不同於數據庫中的字段名稱; 2.使用'ng-cloak'或'ng-bind'(不是{{}}')來防止向最終用戶顯示{{}}。 – Joy
我想你需要縮小和uglify JavaScript文件。 – Joy
HTML –
HTML可以縮小,但它不保護您的數據。如果您將敏感數據放入HTML中,請將其移至JavaScript。 – Joy