5.8w+
社区成员
请教一个JS请求数据的安全问题
js调用一些项目内的接口或者发起一些POST、GET请求,如何保障安全问题?
举个例子:
1.后台代码调用一个接口,接口参数是按照一定的的顺序把参数排序,然后在加上一些私钥之类的东西,签名或者MD5加密
接口端进行验证。
如果以上方法用js来做,排序的顺序和私钥岂不是全部被暴露了。
求指点,谢谢!
举个例子:
1.后台代码调用一个接口,接口参数是按照一定的的顺序把参数排序,然后在加上一些私钥之类的东西,签名或者MD5加密
接口端进行验证。
如果以上方法用js来做,排序的顺序和私钥岂不是全部被暴露了。
求指点,谢谢!
...全文
当前发帖距今超过3年,不再开放新的回复
发表回复
楠小南 2017-08-21
我这里可能表达的不是太准确,其实我是想说。一个web服务接口,假设传递三个参数,第三个参数是前两个参数按照字典排序后键值对拼接的哈希值,那么,我用js在调用这个接口的时候,别人可用通过js的代码看明白我这个接口的参数如何传递,以及传递规则。我想避免这种情况,应该如何处理。[/quote]
你可以在JS用RSA 将敏感字段加一下。接收方再解开。 不过密匙都是在JS里面,也会看到
。
c02645 2017-08-21
你使用加密规则在JS上实现,别人自然知道,但你可以在后台加密啊,把加密码好的密钥给前台的JS赋值,这样别人就不知道你的加密过程和加密基础数据了。
niumowangguilai 2017-08-20
我这里可能表达的不是太准确,其实我是想说。一个web服务接口,假设传递三个参数,第三个参数是前两个参数按照字典排序后键值对拼接的哈希值,那么,我用js在调用这个接口的时候,别人可用通过js的代码看明白我这个接口的参数如何传递,以及传递规则。我想避免这种情况,应该如何处理。
niumowangguilai 2017-08-20
我这里可能表达的不是太准确,其实我是想说。一个web服务接口,假设传递三个参数,第三个参数是前两个参数按照字典排序后键值对拼接的哈希值,那么,我用js在调用这个接口的时候,别人可用通过js的代码看明白我这个接口的参数如何传递,以及传递规则。我想避免这种情况,应该如何处理。
by_封爱 2017-08-18
微信jsapi同样把生成的东西暴露在了外面. 难道他们不认为 这是"不安全"的吗?
你想多了....
以专业开发人员为伍 2017-08-17
比如说对于密码学来说,真正的加密是通过“公开机制”来落实的。也就是把加密程序的源代码告诉每一个人!!!!
所以重点不在于说别人跟你是不是完全不一样,而在于说别人根本不在你的监视之下操作。
以专业开发人员为伍 2017-08-17
你自己的 js 访问自己的服务器时,一方面你要说明自己传的是什么,另一方面要说明有没有必要这样传。你不可能现在就有腾讯或者阿里巴巴一样的需求和开发费,但是你完全可以有一样的技术。比如说如果你可以在3个月之后才为100个服务请求同意增加一个 code 或者 session 或者 token 参数,但是现在没有必要加,这完全是合理的设计。重点在于你确实能做到,而且能收到产品更新开发费用。
以专业开发人员为伍 2017-08-17
任何程序的安全都是相对的。比如说随便一个程序,假设它非常简单与它是大型的复杂的程序相比,那么即使什么加密、混淆都不做,它的安全性也是完全不一样的。特别简单的程序本身就非常容易模仿,甚至都“不值得模仿”。所以其实要进行平衡,目的是“抢”一些先机。
比如说微信公众号应用,它首先通过客户的服务器软件将token、密码等等换取了认证的(会话的)随机 code编码,然后这个编码就在客户端反复使用,客户端再访问公众号服务器软件时总是提供此code,服务器就能用此code 获得实际的用户的 openid 编号。
可以看出,都是综合平衡的产物。没有绝对的明文或者绝对的不可破解不可模仿一说。其实重点还是为了用流行的 js 方法来快速开发手机应用。抛开这个前提,那么就不会理解微信应用的客户端编程有什么用了。
niumowangguilai 2017-08-17
怎么没有人呢,求路过,求指点,谢谢
JS-RSA请求数据加密 最近公司要对前端请求数据进行RSA加密,所以在网上找了一些博客,并下载了一些demo测试了下,但不太乐观。目前网上的绝大部分博客对超长字符串(117位以上)加密不太支持或者支持的不太好。即使是付费的。。。 ...
Python3爬虫解决获取异步请求数据问题 在爬取数据详情页面时候,需要将评论数(评论条数)爬取到,但是评论数和详情页面的数据不是同步请求的,在后于详情页面载入数据,如果使用urllib.request.openurl直接抓取页面,得到的结果就是在抓取的页面时,评论数...
前端 API 请求缓存数据的 5 种方案 ) 方案三 多promise 缓存 该方案是同时需要 一个以上 的api请求的情况下,对数据同时返回,如果某一个api发生错误的情况下。均不返回正确数据。 const querys ={ wares: 'getWares', skus: 'getSku' } const ...
原生js XMLhttprequest请求onreadystatechange执行两次问题解决 最近做到一个页面需要兼容IE,然后就写了一个原生 XMLhttprequest请求 直接上错误代码 xmlHttp = new XMLHttpRequest(); xmlHttp.open("post","https://baidu.com/mianxiang/baidu/biancheng"); xmlHttp....
前端 API 请求缓存的5个方案 ) 方案三、 多promise 缓存 该方案是同时需要 一个以上 的api请求的情况下,对数据同时返回,如果某一个api发生错误的情况下。 均不返回正确数据。 const querys ={ wares: 'getWares', skus: 'getSku' } const ...
AJAX提交表单与传统表单向服务器提交请求的安全性差异 AJAX提交表单与传统表单向服务器...未做任何处理,之后项目小组长让我采用form表单直接提交,萌新请教大神,这两种方式在数据安全性方面有什么差异。 AJAX请求代码 function festivalSaveExcel (config, callback1...
post请求获取json数据 JS代码 function approveOpinion(batchId,opinion,flowId) { var approveRemark = $.trim(document.getElementById("approveRemark").value); if(approveRemark!=null&&approveRemark.length>10){ alert(...
flutter for web 带cookie的网络请求跨域问题处理 学习flutter 已经有一段时间了,然后今年三月份flutter 2.0正式的支持之后,一直想尝试flutter web,但是奈何没有时间,最近正好有时间了,于是把自己的一个移动端项目改了改之后,打算编译运行成web项目。...
当前页面所得到的数据怎么渲染给前一个页面的data 最近写小程序遇到一个问题 就是在一个页面已经请求到了数据存给全局变量的 但是这个数据并没有渲染上一个页面 要刷新或者 重新登录 才能重新渲染 我请教了各路大神终于得以解决 今天 分享给大家
远程跨域请求方法及其中遇到的问题 博客开了很久一直没有写自己的东西,今天...我是一个新手,这是我第一次进行Java项目的开发,面对真个问题,我首先到网上寻找答案并请教了很多前辈,从前辈们的口中得知可以使用ajax的方式进行远程跨域请求。于是我下载
前端 api 请求缓存的 5 种方案(干货内容) ) 方案三 多promise 缓存 该方案是同时需要 一个以上 的api请求的情况下,对数据同时返回,如果某一个api发生错误的情况下。均不返回正确数据。 const querys ={ wares: 'getWares', skus: 'getSku' } const ...
前端 api 请求缓存方案 ) 方案三、 多promise 缓存 该方案是同时需要 一个以上 的api请求的情况下,对数据同时返回,如果某一个api发生错误的情况下。 均不返回正确数据。 const querys ={ wares: 'getWares', skus: 'getSku' } const ...
【jquery】使用ajax请求后端数据局部刷新小demo 记一次艰难的jquery旅行 题记:奶奶的,今天下午折腾了很久的用jquery中的ajax请求后端,总是在url出现bug,idea总出404,搞了一会,参考别人博客,把那个url写成下面这种形式竟然成功访问,ojbk。还准备请教在外工作...
python爬取淘宝数据遇见的坑 来说说我用python爬取淘宝数据遇见的坑 学习python 一年了,总想着找个大网站来练练手,于是乎,我就把眼光放在了马云爸爸的知名大网站——淘宝。可能也是我自己作死的关系,导致淘宝不让我访问了,不但出现滑块...
前端 api 请求缓存的 5 种方案,减少性能损耗! ) 方案三 多promise 缓存 该方案是同时需要 一个以上 的api请求的情况下,对数据同时返回,如果某一个api发生错误的情况下。均不返回正确数据。 const querys ={ wares: 'getWares', skus: 'getSku' } const ...
