我们目前正在开发一个使用带有 JSON 的 AJAX 与服务器通信的 Web 客户端。客户端基于gwt,通信通过https。
浏览器工具可以轻松检查通信 - 是否有一些合理的方法可以向用户隐藏它,即保护协议?
除了所有浏览器使用的标准身份验证和加密技术外,无论您想出什么方法,都必须由您的 JavaScript 客户端启动。这意味着一个好的黑客可以解构你的 JavaScript 并弄清楚你是如何提交数据的。
安全通常与试图拦截通信或冒充合法用户的第三方或试图访问他们不应该访问的地方的恶意用户打交道。一旦你验证了一个用户是合法的,你为什么要试图对用户隐藏用户的数据?也许你可以描述你的用例。
编辑:
防止机器人的唯一方法是在工作流程的某个地方(即在提交重要数据之前)提出一个只有人类才能回答的问题(例如验证码)。这对用户来说通常很烦人,但没有其他办法。既然您建立了一个游戏平台,请让您的设计师提出一些有趣的验证。
只是为了完善安全清单
1) HTTPS - 你已经设置好了 :)
2) Json 和 XSS/XSRF 网络安全 -
https://developers.google.com/web-toolkit/articles/security_for_gwt_applications#json-xsrf
https://developers.google.com/web-toolkit/articles/security_for_gwt_applications#json
3) BOT 攻击 - 一个不错的验证码 - GWT Widget 中的验证码
4) 其他 - https://groups.google.com/forum/?fromgroups=#!topic/google-web-toolkit/_gViO5aZ-WQ