我对在浏览器的全局变量中存储敏感信息有点偏执;谁不会。进入 AMD!我的问题是,我们是否可以自信地使用 require.js 来完全隔离变量,以帮助减少从控制台对变量进行不必要的操作?有没有人发现后门,或者更好的说法是,有没有人目睹过 require.js 库的任何安全问题?谢谢!
问问题
351 次
2 回答
2
不,你不能。即使您没有任何全局变量,用户仍然可以浏览您的源代码并添加断点,然后当代码到达断点时,他可以操作在实际范围内可访问的所有变量。
看看这个gamedev question,它有一些关于如何让用户更难(但并非不可能)欺骗你的代码的建议。
于 2013-08-04T13:06:50.793 回答
0
是的,攻击者总是可以查看源代码。
但是,如果您调整有效负载的大小和形状,缩小和模块化客户端的部分/区域,根据用例叙述按需为它们提供服务,那么您就有效地添加了由于假设人类游戏而存在的安全层。
机器人不能简单地遍历服务器上的目录,而是必须(通过 JavaScript)智能地导航应用程序,只在应用程序中唯一指定的点获取代码。它必须知道某些有效负载何时对用例至关重要(例如在流程中提供信用卡信息 N 个屏幕)。
此外,客户端代码和被混淆 w/r/t IP 地址或沿着连续、周期性的发布周期。
于 2013-11-06T06:28:55.753 回答