ale*_*xcs 4 security single-page-application reactjs
在典型的单页应用程序(SPA,例如:React)中,整个代码包都提供给客户端。这包括应用程序的私有组件,这些组件通常受到客户端授权机制的保护(例如,检查状态中是否设置了身份验证令牌)。
是否可以对这些私有组件进行逆向工程,并至少看到它们的骨架?
我知道数据仍然隐藏在 API 后面,因此对手除了组件的骨架之外看不到任何内容(代码中的任何内容,而不是远程数据:布局、复制文本、界面行为等)
相比之下,如果您未经正式授权,SSR 应用程序通常不会向您返回受保护 UI 的任何部分。
我知道这在大多数应用程序中都不是问题,但是在完全私有的应用程序(例如,没有公开注册的应用程序)中,这可能是一个问题吗?在这些应用程序中,界面可以为对手提供有价值的信息。
具有极端保密要求的团队是否曾将其视为取消资格的问题?(例如:军事或秘密初创公司)或者他们仍然可以使用 SPA 并采取一些额外措施吗?(例如:不要向受信任网络之外的用户提供应用程序)
这确实是一个非常好的问题。许多框架将发送模板或 - 正如您所命名的 - 存根。这通常是我们构建的系统中的默认行为。据我所知,没有任何案例或项目会认为这是一个安全缺陷。
另一方面,我可以想象,即使是模板/存根也可能被视为敏感数据,通常要么被过度保护的信息安全官员要么仅仅因为有人将敏感数据硬编码到其中。所以问题应该是:存根中存在哪些数据以及如何对其进行分类?
我相信这可能是向社区安全官员提出的一个好问题,也是与开发团队交谈的一个好点。
| 归档时间: |
|
| 查看次数: |
394 次 |
| 最近记录: |