Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
Web Cryptography API中提议的对 Web 浏览器中 JavaScript 运行时环境的添加是否允许我们使用 JavaScript 安全地验证浏览器中的browserid 断言?
您已经可以在 Javascript 中验证客户端的 BrowserID 断言,但问题是您不能信任客户端。
例如,用户可以通过代理服务器运行您的代码,该代理服务器会更改 Javascript 以始终声称断言是有效的。除非您正在执行服务器端验证,否则您的服务器代码将容易受到声称一切正常的客户端的攻击,而实际上断言是虚假的。
没有浏览器 API 会改变这样一个事实:就服务器而言,您不能依赖客户端做正确的事情。服务器需要自己进行验证。