7

我是智能手机和平板电脑开发 Html 5 的新手,目前正在开发 Html 5、CSS、jQuery Mobile 和 PhoneGap 项目。

应用程序通过 XMLHttpRequest 执行的 SOAP Web 服务与服务器进行通信。新手如何想知道如果我不得不求助于插件、数据加密等,我必须在应用程序中解决什么安全问题,我需要使用所有这些来保证安全。

验证用户名和密码不使用表单。不要在页面之间传递参数。我没有使用 php。我不知道它是否可以规避代码的可见性,因为我正在为 Android 和 iOS 开发。

由于我的经验不足,暂时在.js中使用全局变量来保存用户名和密码,以便访问其他方法的网络服务。请就这个安全问题寻求帮助,因为我不知道从哪里开始、继续和结束。

谢谢!

4

4 回答 4

3

有一个非常详细的 PhoneGap 和安全性分类:https ://github.com/phonegap/phonegap/wiki/Platform-Security

简而言之,如果您担心数据的“无线”传输,请使用带有 SSL 的服务器,就像在 Web 应用程序中一样。如果您担心设备加密,则将其委托给操作系统的默认安全机制。

于 2013-02-22T15:30:24.320 回答
2

您的特定技术堆栈与任何其他 Web 应用程序没有什么不同。您仍然容易受到大量漏洞的影响。

从它的声音来看,您只关心应该考虑的客户端漏洞。如果是这种情况,您应该考虑很多事情。

  1. 如果您使用的是 HTML5,请确保您使用的任何本地 API 都受到保护。OWASP 有一个很好的最佳实践列表,可以遵循https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet,其中只有一些可能适用于您的特定应用程序。
  2. 您要为 XSRF 或 CSS(跨站点脚本或 XSS)实施的任何类型的防御都是徒劳的。唯一可以全面发挥作用的防御类型是在应用程序的服务器端实现的(在本例中为 PHP)。
  3. 此外,如果您希望数据在传输过程中通过 SSL 加密,则必须由服务器(SOAP Web 服务端点)处理。如果这不能完成,那么更复杂的替代方法是使用 WS-Security ( http://en.wikipedia.org/wiki/WS-Security )
于 2013-02-28T22:41:11.930 回答
0

与 webapps 相同的安全性和注意事项,切勿在 phonegap 项目中使用来自 parse、stackmob、google 或 bing 地图等 api 的私钥。

于 2013-02-22T15:35:51.120 回答
0

除了跟进其他评论...我建议使用 HTTPS/SSL + OAUTH(或其他一些基于令牌的机制)而不是在每个请求中传递用户名/密码...尽管简单的 HTTP 身份验证有效。

于 2013-03-01T00:33:08.137 回答