Plugin của tôi là đã dòng mô tả bằng sơ đồ dưới đây:Đó là kỹ thuật bảo mật tốt nhất cho javascript của tôi cắm
Yêu cầu là làm cho giao dịch onclick
xảy ra sau khi xác thực. Tức là, chỉ khi chủ sở hữu miền chứa page.html
đã đăng ký với trang web của tôi (ví dụ: www.MyPluginJS.com/register
) thì họ có thể sử dụng MyPlugin.js không.
Cổng thông tin đăng ký của tôi phun ra một số Client ID
sau khi đăng ký lại thành công.
Câu hỏi của tôi là:
- cách tiếp cận tốt nhất mà tôi cần phải sử dụng để thực hiện các giao dịch
onclick
đảm bảo là gì? - Các thông số khác (ví dụ: vân tay MD5) Tôi có thể yêu cầu đảm bảo rằng giao dịch diễn ra an toàn?
- Có bất kỳ khung công tác hiện có nào (ví dụ OAuth) mà tôi có thể tận dụng không?
Tôi cần một cách để ngăn mọi người sử dụng MyPlugin.js chưa đăng ký.
Tôi thiếu kinh nghiệm về kỹ thuật bảo mật nhưng tôi có thể quản lý mã.
Cảm ơn trước :)
thực sự nói về bảo mật với javascript là không thực tế - thay vào đó tôi sẽ tìm cách cho phép/chặn quyền truy cập vào tệp .js đó từ phía máy chủ, dựa trên bất kỳ mã thông báo xác thực nào mà bạn nhận được ... – Leon
@Leon cảm ơn time :) làm cách nào để chặn truy cập vào tệp .js ?? – codemaniac
Bạn thực sự cần phải quấn logic nghiệp vụ vào máy chủ. Bất cứ điều gì javascript được tiếp xúc. Bất cứ ai cũng có thể sao chép tập tin javascript của bạn và phục vụ nó cục bộ, và ghi nhớ bất cứ ai có thể gọi bất kỳ chức năng javascript bằng tay bằng cách sử dụng bàn điều khiển nếu họ muốn. Javascript làm cho mọi thứ hoạt động tốt ở phía khách hàng, nhưng mọi thứ quan trọng đều phải xảy ra phía máy chủ và bạn phải luôn khử trùng mọi đầu vào từ plugin javascript. –