在典型的单页应用程序(SPA,例如:React(中,整个代码包都提供给客户端。这包括应用的专用组件,这些组件通常受客户端授权机制的保护(例如,检查身份验证令牌是否设置为状态(。
难道不可能对这些私有组件进行逆向工程,并至少看到它们的骨架吗?
我知道数据仍然隐藏在 API 后面,因此对手除了组件的骨架(代码中的任何内容而不是远程数据:布局、复制文本、界面行为等(之外什么都看不到。
相比之下,如果您未获得适当授权,SSR 应用通常不会返回受保护 UI 的任何部分。
我知道这在大多数应用程序中都不是问题,但在完全私有的应用程序(例如,没有公共注册的应用程序(中,界面可以为对手提供有价值的信息块,这可能是一个问题吗?
这是否曾被具有超保密要求的团队视为取消资格的问题?(例如:军事或隐形初创公司(或者他们仍然可以使用带有一些额外措施的 SPA?(例如:不要向受信任网络之外的用户提供应用(
这确实是一个非常好的问题。许多框架将发送模板或 - 正如您命名的那样 - 存根。这通常是我们构建的系统的默认行为。据我所知,没有任何案例或项目会被视为安全漏洞。
另一方面,我可以想象,即使是模板/存根也可以被视为敏感数据,通常要么是过度保护的信息安全官,要么仅仅是因为有人将敏感数据硬编码到其中。所以问题应该是:存根中存在哪些数据以及如何对其进行分类?
我相信这可能是向社区安全官员提出的一个好问题,也是与开发团队交谈的好点。