我的客户有一位正在进行"安全测试"的朋友,他告诉他们我为他们构建的PHP Zend Framework应用程序需要在浏览器端做这些事情:
这显然是一个非常糟糕的主意.我已经指出它隐藏了网站受SSL保护的事实,浏览器可以选择尊重这些请求,并且真正的破解者无论如何都会找到解决方法,因为它是客户端黑客.
除了这个想法的不好之外,它甚至可能吗?我已经完成的基本测试表明这只能在版本7之前,而在Firefox,Safari,Chrome中完全没有.这家伙坚持说在这些浏览器中有可能,我还在等待概念验证.
但是更好:任何真正好的拆除这个想法,特别是来自任何安全机构的来源?
我的客户信任这个人,所以我必须找到一些非情绪化的反驳论点.
谢谢