3
我已成功從後端實施HMAC驗證,但希望提供JSONP支持。由於我不希望客戶知道密鑰,因此利用HMAC並從客戶端撥打電話的最佳方式是什麼?javascript中的HMAC驗證API
A
回答
3
如果攻擊者知道密鑰,那麼他將始終能夠生成有效的HMAC。攻擊者將能夠通過looking at the traffic或by modifying the JavaScript獲得此HMAC值。像螢火蟲這樣的JavaScript調試器也可以使用。
總之,這種安全功能並不存在,因爲它完全沒有價值。這聽起來像你非常認真地實施了違規行爲CWE-602。
信任客戶是你可能犯的最大錯誤。現代Web應用程序安全性的基礎就是從客戶端防禦服務器。我認爲你有很多東西需要學習。
+2
我沒有說我正在這樣做。我問客戶端做了什麼是一個好方法。 –
+0
@Mike Flynn,那麼你應該刪除安全標籤,因爲這不是安全功能。 – rook
相關問題
- 1. 如何驗證HMAC的Java
- 2. Shopify C#HMAC SHA256 OAuth驗證
- 3. API在函數中生成時無法驗證hmac + base64
- 4. 使用HMAC身份驗證的WSO2 API Manager
- 5. Javascript中的REST API身份驗證
- 6. javascript中的rest api身份驗證
- 7. ASP.NET Web API/HMAC身份驗證,如何授權用戶名?
- 8. 使用SecurityServiceProvider和Silex驗證HMAC
- 9. 使用javascript問題驗證LinkedIn API api
- 10. 在Javascript中的URL驗證InstaGram驗證
- 11. 如何驗證純Scala中的JWT令牌的HMAC簽名?
- 12. 第三方的web api驗證和javascript
- 13. HMAC認證對REST
- 14. 的Javascript驗證
- 15. 驗證,JavaScript的
- 16. Google Drive API身份驗證,JavaScript
- 17. Javascript驗證或ASP驗證?
- 18. Python的驗證API
- 19. 嘗試使用ColdFusion爲API身份驗證創建HMAC-SHA1哈希
- 20. 在php中的Javascript驗證
- 21. JavaScript中的URI驗證
- 22. 驗證Javascript中的表單
- 23. JavaScript中的小數驗證
- 24. JPA驗證API
- 25. Google API驗證
- 26. Bean驗證API
- 27. Javascript測驗驗證
- 28. 的IPv6驗證和IPv4驗證在JavaScript
- 29. JavaScript中的許可證編號驗證
- 30. 基於SHA512的FIPS驗證應用程序與HMAC功能?
請提供更多信息。你想驗證什麼?你想捍衛什麼? – SLaks
我想確保獲取數據的客戶端是有效的,而不是開放式API。後端通過從密鑰創建簽名來驗證請求。但在客戶端我不能這樣做。 –
您無法阻止攻擊者冒充您的客戶。期。 – SLaks