我确信我听起来会像个总。。。。在这里,但我只需要问一下!
我们正在使用Stackmob作为我们正在开发的移动应用程序的后端,我已经看过了样本,一切都很好(使用xcode等)。就样本而言,这部分很好。
我想访问通过网络应用程序存储的数据,所以我还下载了示例文件,index.html和app.js文件(这就是它给我的),我运行它并玩宾果游戏,我的数据出现了,我可以添加和删除条目,我刷新了移动应用程序,就像变魔术一样,它出现了。
所以,我的问题。。。我只是把这两个文件放在我的hostgator LAMP服务器上,然后运行它们,很好,所有的文件都显示为"正常"。然后我右键点击并查看了页面,我所有的连接字符串和应用程序代码都在那里,让所有人都能看到,如果有人感兴趣的话。
这显然是一个相当大的安全问题。所以,我向我的开发人员提到了这一点,他说我们不能使用JQuery连接的方法(我认为是这样),但我真的不确定这是否正确。肯定有一种方法可以加密这些数据或将其放在目录中,使其不可见?我搜索过网络,HTML5/JQUERY/CSS无处不在,所有这些都不可能是不安全的吗??
我只需要问一下我学习这些东西的下一步,对于初学者来说,是否有一个很好的链接来说明这是如何完成的?
如有任何协助,我们将不胜感激。
问候,
Ken
目前尚不清楚您试图保护哪些部件。大多数应用程序由客户端和服务器端代码组成。客户端代码包括HTML、CSS、JavaScript,这些代码被发送到客户端并在客户端上执行,以及在用户设备上运行的本地应用程序(如本地Android应用程序和iOS应用程序)。顾名思义,服务器端代码是在服务器上运行的所有代码(包括任何相关的数据库等)。你无法真正保护客户端代码的安全(尽管你可以使用模糊处理使其成为构建任何新应用程序的基础)。
对于要发送到客户端的任何用户数据,都需要确保只有经过身份验证的用户才能访问。为此,您可以在用户进行身份验证时从服务器向客户端发出令牌,并要求后续对用户数据的请求包括该令牌。但是,没有什么能阻止用户共享他们可以在客户端上查看的数据。
Punchline
如果有要保密的代码,请将其设置为服务器端代码,而不是客户端代码。例如,如果你想对获取或计算内容的方式保密,那么就不要直接在客户端上获取/计算;向服务器发出一个查询,让服务器来执行获取/计算。
我会咬。。
试图保护javascript就像试图说服奥巴马他实际上是一名共和党人。
再说一遍,我前几天读到一篇关于混淆的很酷的文章(http://www.wired.com/wiredscience/2014/02/cryptography-breakthrough/)。
你可以随时阅读他们正在讨论的研究论文,并创建一个模糊处理例程,严重破坏你的JS代码,使其无法工作,或者比在其上运行YUI压缩器更难解码=)