前台js导致的ajax安全问题怎样解决
我的前台html页面通过ajax与后台php通信,尽管php程序处理和返回数据的过程还算安全,但用户只要在浏览器中查看html页面源代码,前台js通过request发出的通信指令及参数格式便一目了然,这显然极不安全
我曾尝试将js代码弄成js文件调用,然后修改apache配置禁止访问js文件,但大概因为js文件是客户端调用,所以一禁止自己的页面也运行不起来了
由于环境限制,我不可能使用第三方js加密软件,所以在基本的web技术中有没有什么办法?
------解决方案--------------------
安全性主要要在服务器控制,你既然把网站发布出去,那说明你的相关信息就是允许公布的,比如服务器提供了一个ajax接口,别人传递一些参数可以获得相应反馈,其实这就相当于开了一个web服务,提供了接口又不想让别人调用,这是什么意思?
客户端加密js已经足够,服务器更要做相关的数据验证,不要轻易相信客户端提交的数据就好了
------解决方案--------------------如楼上所说。楼主想得没必要了。
------解决方案--------------------后台接收过滤不就行了吗?AJAX传入再多也是枉然!
------解决方案--------------------LZ无非就是担心有人伪造请求,就是过滤那些‘非点击按钮操作’发起的ajax请求,是不是这个意思呢。。可以再后台做一些对这个请求的验证嘛,referurl什么的
------解决方案--------------------
------解决方案--------------------没错。后面再说什么也没用,记住前面人家已经告诉你的,安全主要是在自己的后台控制住。
各种各样的前台漏洞,到你后台都给他截住消除,还怕什么? 反过来,你前台即使一点漏洞也没有,人家也很轻松往你后台传东西。你以为隐蔽前台传递URL和参数信息什么的就有用吗?有的是方法可以探测出来。
在后台多下点功夫就对了。
------解决方案--------------------1楼说的很好。