Sha*_*rma 5 javascript security ajax rest jquery
我在接受采访时已经问过这个问题.我在网上搜索但找不到以对我有意义的方式解释它的线程.
假设我有一个Web服务返回一个东西的列表并且可用在公共域中(任何机构都可以使用)用于安全性用户需要一个访问该Web服务的密钥.
我如何在Ajax中安全地使用该Web服务.
问题是,如果我使用Ajax访问该Web服务,任何正文都可以看到我的私钥,
我建议加密,但我必须在解密中传递该密钥(因为我得到)形式比我建议的中介文件(在服务器端)我可以调用该Web服务,但如果有人直接访问该中介文件怎么办? (我知道同样的原产地政策)
我真的想知道解决这些问题的可能解决方案是什么,以及在休息时进行安全的ajax调用的最佳做法是什么
为此,我们使用 cookie。与会话一样,我们将安全密钥存储在 Web 服务器上。通过Cookie我们可以获得安全密钥。所以他只看到了他钥匙中的“钥匙”。无法向客户端隐藏所有信息。但你可以给他看信息,他不能直接使用。
但归根结底,还是有钓鱼问题。如果有人窃取了您的cookie,他就拥有您的安全密钥的“密钥”。许多其他人也在做类似的事情。例如脸书。
这并非特定于 Ajax 调用,但由于它适用于普通 GET 和 AJAX 调用,因此这将是一个解决方案。
| 归档时间: |
|
| 查看次数: |
4826 次 |
| 最近记录: |