bmoeskau的书推荐看起来不错。我不知道这个标题,但我想我要去买它。
基于他的答案的第二部分,您需要确保您完全理解自己在做什么。请不要生气,但您的问题表明您并没有完全掌握此类应用程序的工作原理。
In any基于网络的应用程序,您不能信任客户端。无论客户端是普通的旧式 HTML、某种 AJAX 化的 DHTML、完全 ExtJS 驱动的应用程序、Flash 电影还是本机桌面应用程序,都没有关系。他们都是客户,而且都容易腐败。
Your 服务器端代码是你保护自己的地方。总是。没有例外。曾经。
担心 SQL 注入(您应该如此)? -- 在服务器上防范它。 (如果您正在编写创建 SQL 并将其发送到服务器的客户端代码,那么您几乎肯定是非常非常错误的)。
需要确保只有某些用户看到/触摸某些数据? -- 您需要在服务器上建立可靠的身份验证/授权框架。
您还应该担心CSRF http://en.wikipedia.org/wiki/Cross-site_request_forgery——同样,服务器端架构需要防范它。
使用您的应用程序的任何人都将在其本地计算机上拥有您的所有 Javascript 代码。这是生活的事实。这正是你从不信任客户的原因。
几乎每个可能影响基于 ExtJS 的应用程序的漏洞也可能影响任何其他应用程序。
因此,您可以告诉您的客户,ExtJS 并不比任何其他客户端技术更安全或更不安全。这是因为安全性是服务器端代码的工作,而不是客户端的工作。
为了避免这些漏洞,您需要仔细阅读、理解和编写代码。无论您使用什么库或技术。
