混合应用程序显然有点新,因此很难找到这方面的好信息。我知道我需要在服务器端页面上允许跨源资源共享,但这显然会增加安全缺陷。在phonegap/cordova应用程序上,我只有通过ajax调用服务器端页面的客户端控制。这意味着任何人都可以访问我的 php 页面。这意味着任何人都可以通过访问我的所有数据(例如帐户信息等)来模仿我的应用程序。我的问题是如何确认只有我的应用程序正在访问这些页面?请提供具体的编码示例。
我在这篇博文中回答了您的问题,以及许多其他人喜欢的问题:客户端的真实性不是服务器的问题 https://paragonie.com/blog/2016/03/client-authenticity-is-not-server-s-problem.
应用程序安全最基本的规则之一是输入验证。该规则之所以如此重要,是因为您的服务器只能控制(和可见性)在其自身上运行的软件。互联网上的所有其他设备都是一个黑匣子,您可以通过网络协议与之通信。您看不到它在做什么,只能看到它发送的消息。
...
服务器应该对客户端保持不可知。
客户端上的软件和服务器上的软件应该互相不信任。服务器收到的任何消息都应验证其正确性并小心处理。如果可以的话,数据永远不应该与代码混合。
...
结论是:不要试图控制用户,而应该专注于使他们的不当行为对服务器的稳定性和完整性无关紧要。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)