我已从后端成功实施 HMAC 验证,但希望提供 JSONP 支持。既然我不希望客户端知道密钥,那么利用 HMAC 并从客户端拨打电话的最佳方式是什么?
问问题
785 次
1 回答
3
如果攻击者知道密钥,那么他将始终能够生成有效的 HMAC。攻击者将能够通过查看流量或修改 JavaScript来获取此 HMAC 值。也可以使用像 firebug 这样的 JavaScript 调试器。
简而言之,这种安全功能在任何地方都不存在,因为它完全毫无价值。听起来您正在非常小心地实施CWE-602违规。
信任客户是您可能犯的最严重的错误。现代 Web 应用程序安全性的基础是保护服务器免受客户端攻击。我认为你有很多东西要学。
于 2012-09-27T20:26:01.163 回答