我正在构建第三方小部件
我们在客户端页面上删除脚本并加载一些内容.
我面临的问题是如何保护我的小部件.作为一个第三方小部件我知道没有100%的方法来保护它.但试图找出一个"足够好"的方法.
我想让非客户很难将我们的脚本从他们的竞争对手网站上删除并在他们的网站上使用它.
我看到的解决方案是拉验证请求域(我知道可能是欺骗,不确定我是否可以防范这个?)
我看了一下像olark和olapic这样的其他小部件,它们在脚本中使用每个客户端的唯一id,但看不出它有多大帮助.
保护第三方窗口小部件的最佳做法是什么?
确保租户的第 3 方客户端访问您的 Javascript 的安全提出了一系列独特的挑战。该解决方案的大部分困难源于这样一个事实:身份验证机制必须存在于租户 Web 内容中并从其客户端浏览器传递。由于事务的扩展性质,标准客户端<>服务器身份验证机制(例如会话、cookie、自定义标头、引荐来源网址和 IP 地址限制)不太适用。
Bill Patrianakos 的这篇文章提供了一种使用动态密钥请求的解决方案,该请求为租户的客户端提供访问令牌。
Patrianakos 在他的文章中提供了一些有关第三方租户关系的有用信息,并讨论了该模型的一些局限性。
由于要求客户端浏览器在运行时解释代码,因此保护 Javascript 代码很困难。但是,可以使用Google Closure Compiler来混淆您的 Javascript 。编译器的高级优化功能提供低级引用重命名,还提供更紧凑的代码来交付您的小部件。
要使用高级优化来编译 Javascript,请使用以下命令行:
java -jar compiler.jar --compilation_level ADVANCED_OPTIMIZATIONS \
--js myWidget.js --js_output_file myWidget.min.js
有一些重要的警告。 本文介绍了代码中应避免的一些事情,以确保代码正常运行。我还推荐一个好的qunit测试框架,以确保您的小部件能够正常运行。
| 归档时间: |
|
| 查看次数: |
1213 次 |
| 最近记录: |