Tôi tò mò muốn biết điều gì, nếu có, vấn đề bảo mật liên quan đến các develpers khác có liên quan đến việc sử dụng các plugin JQuery. Tôi đã thấy rất ít nói về an ninh mà JQuery có liên quan. Nó thực sự là một vấn đề không?Bạn có bất kỳ mối lo ngại nào về bảo mật khi nói đến các plugin JQuery không?
Đánh giá cao suy nghĩ của bạn!
Cá nhân tôi đủ thoải mái với Javascript để có thể lướt qua mã plugin và hiểu hành vi sai trái có thể xảy ra.
Những gì tôi tìm kiếm là vấn đề an ninh phù hợp nhất với javascript, giao tiếp giữa các miền, mà thường được thực hiện với sự sáng tạo của iframe s, script/img thẻ vv ..
Hầu hết các lần mặc dù, Tôi tin tưởng cộng đồng, ví dụ, nếu nó lên trên http://plugins.jquery.com/, nó thường là một nguồn đáng tin cậy.
Các ứng dụng phổ biến nhất được sử dụng trên web trên các trang web chính. Nếu có một mối quan tâm an ninh, một người nào khác có thể đã lưu ý nó. Ngoài ra, rất nhiều trình cắm thêm jQuery được sử dụng nhiều nhất đến từ cùng một nhà phát triển, những người rất tích cực trong cộng đồng, do đó, khá an toàn khi tin tưởng họ. (Jörn Zaefferer, người đã thực hiện xác thực plug-in, đến với tâm trí)
Được, nên luôn luôn kiểm tra và luôn hoài nghi, nhưng tại một số điểm nó trở nên không hiệu quả để lo lắng quá nhiều.
jQuery không thể làm bất cứ điều gì mà chính nó javascript không thể làm, vì vậy tất cả các tiêu chuẩn bảo mật tương tự được áp dụng. Về cơ bản - không bao giờ dựa vào nó để bảo mật. Luôn xác thực tất cả các yếu tố đầu vào ở phía máy chủ.
Cách tốt nhất để nghĩ về điều này là từ góc độ bảo mật, javascript phía máy khách không thực sự là một phần của ứng dụng của bạn. Ứng dụng của bạn bao gồm tất cả các cuộc gọi http có thể có đến máy chủ của bạn. Để bảo mật tốt, giả sử rằng tin tặc thậm chí sẽ không sử dụng trình duyệt - họ sẽ thực hiện yêu cầu http trực tiếp đến máy chủ của bạn. Đảm bảo rằng bạn không tiết lộ bất kỳ lỗ hổng nào trong các điểm cuối http của mình và bạn sẽ ổn.
lưu ý: Tôi đã đưa ra giả định trong câu trả lời này là bạn đang nói về dữ liệu và bảo mật hệ thống. Bảo mật người dùng (ngăn chặn người dùng của bạn bị lừa đảo, vv) là một ấm đun nước khác của cá, nhưng tôi không chắc nó có liên quan gì đến jQuery không hơn javascript nói chung.
Tôi tin rằng mối quan tâm là với mã độc được trồng trong một plugin jQuery. Đó là điều có thể xảy ra với bất kỳ thư viện Javascript nào, nhưng không phải thứ gì đó có thể xảy ra nếu bạn đang dùng commando. –