2
我的一個客戶說他可以使用burp套件查看html和javascript。我們在客戶端和服務器端使用了angularjs,我們使用了webapi。Angularjs和打嗝套裝
他說他不應該在html頁面看到敏感數據。我可否知道這將是什麼解決方案。
A
回答
1
首先,JavaScript和HTML文件是那些應該發送給用戶的數據。 因此,如果您有任何不應透露給用戶的敏感數據,請不要將它們包含在JavaScript和HTML中。
作爲一種最佳實踐,爲了保護您的客戶端業務邏輯(並提高頁面加載性能),通常推薦使用uglify和minify您的JavaScript文件。以這種方式,他們變得人類難以辨認。
但請記住,uglifying不會加密您的數據。例如,如果您想要在網頁上顯示您的銀行賬戶餘額,可能會有一個JavaScript變量bankAccountBalance=100可能會重命名爲b=100(人類無法讀取),但其值始終爲您銀行賬戶中的實際數字,即,100。
HTML can be minified as well(它應該是)。但它只是有助於消除換行符,額外空間等。它不保護您的數據。
+0
在html頁面中,我們使用了{{}}表達式並且綁定了一些像{{x.sno}}這樣的內容。所以客戶說它是我們不應該在burp套件中顯示的敏感信息,並且我想讓你知道從服務器發送和接收的數據是否被加密。如果我們有任何安全問題,這是一個非常敏感的信息。 –
+0
據我所知,這不是一個安全問題。我可以推薦說服客戶:1.將變量重命名爲不同於數據庫中的字段名稱; 2.使用'ng-cloak'或'ng-bind'(不是{{}}')來防止向最終用戶顯示{{}}。 – Joy
相關問題
- 1. 打嗝安裝Node.js和NPM
- 2. 驗證碼與打嗝套件
- 3. 設置打嗝套件的問題
- 4. iPad MPMoviePlayer打嗝
- 5. clojure/compojure /打嗝NullPointerException
- 6. 編譯打嗝在C++和.o文件
- 7. 打嗝1.0.0-beta1錯誤
- 8. 每10分鐘打嗝一次攻擊
- 9. 如何描述打嗝的表現?
- 10. 在打嗝中改變div顏色
- 11. 打嗝形式輔助用的Compojure
- 12. 處理Internet連接打嗝和數據庫連接
- 13. 如何將Windows 8中的網絡流量重定向到打嗝套件?
- 14. Windows Phone 7 - 打開音頻流的打嗝
- 15. soTimeout從你打電話的那一刻開始打嗝?
- 16. 客戶端未能協商ssl連接:共同沒有密碼套件 - 打嗝套件
- 17. AngularJS和打字稿廣播
- 18. AngularJS和打字稿與SingalR
- 19. jQuery的包裝套以打開和關閉標籤元素
- 20. jQuery slideToggle:在IE 8中滑動後打嗝
- 21. 修復地面碰撞代碼中的「打嗝」?
- 22. 打嗝條件,我可以使這更加地道?
- 23. 如何攔截在互聯網使用打嗝瀏覽器
- 24. 預加載器掛起/用「打嗝」冷凍
- 25. 使用打嗝渲染異步腳本標記
- 26. 在iPhone上實現OpenAL時的聲音播放延遲(打嗝)
- 27. 奇怪的打嗝從陣列中刪除重複項
- 28. 打嗝的代碼,而不(做(HTML5在每個級別
- 29. 試圖顯示大圖像作爲瓷磚沒有打嗝
- 30. Xbox One上的統一 - 相機/剛體視覺運動打嗝
我想你需要縮小和uglify JavaScript文件。 – Joy
HTML –
HTML可以縮小,但它不保護您的數據。如果您將敏感數據放入HTML中,請將其移至JavaScript。 – Joy