api*_*gov 4 javascript security
在之前的一个问题中,我询问了我自己的安全层概念中的弱点......它依赖于JavaScript加密函数,并且由于现在的答案,引人注目的一点很明显,在Javascript中完成的所有事情都可以被操纵并且不可信任. ..
现在的问题是 - 我仍然需要使用它们,即使我依靠SSL进行传输......
所以我想问一下 - 有没有办法让服务器检查该网站是否正在使用来自服务器的"正确"javascript?
任何我想到的东西(如散列等)都可能显然是伪造的......并且服务器似乎没有任何可能知道在它发送一些数据之后在客户端发生了什么,通过HTTP头部解决( - > cookie交换和东西)
服务器完全无法验证这一点.
Javascript和服务器之间的所有交互都直接来自Javascript.
因此,恶意Javascript可以做任何你的良好的Javascript可以做的事情.
通过使用SSL,您可以让恶意Javascript首先进入您的页面变得困难或不可能(只要您信任浏览器及其插件),但是一旦它在您的页面中立足,您就会受到冲击.
基本上,如果攻击者具有对浏览器的物理(或脚本)访问权限,则您将无法再信任任何内容.
| 归档时间: |
|
| 查看次数: |
110 次 |
| 最近记录: |