0
我的團隊將開發員工門戶來管理所有與人力資源相關的需求。它將使用Cordova/Phonegap進行開發。科爾多瓦安全問題/ Phonegapp應用
因爲我們在科爾多瓦使用WebView,所以所有資源文件:HTML,JS,CSS,都將默認包含在APK文件中。所有用戶都可以查看這些資源文件,這些文件可以是HTML表單和JS文件中的所有邏輯。
當所有的用戶(即使沒有登錄)都可以查看所有的HTML和JS文件,這是不好的主意或什麼不擔心?因爲在我看來,他們可以利用所有的表單,因爲他們知道HTML表單中的端點URL和所有POST字段。
如果他們可以在登錄後查看錶單和字段(在基於Web的應用程序中通常會發生這種情況),那麼這是沒有問題的,但是關注的是尚未登錄的其他人,他們可以執行此操作。
在服務器端,當然我們有額外的驗證來防止攻擊者,但是當所有用戶都知道Endpoint和所有POST字段時,他們離破解更近一步,對嗎?
再一次,這是不好的主意或什麼不擔心?以及如何保護資源文件?現在我不知道。
'JWT'會增加API訪問的安全性。 –
謝謝@HardikVaghani,我將探討'jwt',但如何安全性關心用戶可以查看所有表單和字段,而無需登錄? – danisupr4
會話管理。您將能夠通過本地存儲或會話存儲來實現。 –