我知道,我知道... Javascript 是一种客户端语言。当然,任何需要被浏览器读取的Javascript都可以被使用浏览器的人读取。
但是我正在构建一个完全使用 Javascript 运行的 HTML5 游戏,并且我试图想出一种方法来至少省略一些必要的变量或函数,并从远程位置运行一些验证以确保游戏代码不会被盗并从另一个域运行。
我最初的想法是让游戏通过 JSONP 加载一些远程内容,或者只是将整个游戏构建为 Web 小部件,并且对于任何请求,我都会在我的最后完成所有域验证。
最好的方法是什么?
我的投票是让你看看反 CSRF 代币:
https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet https://security.stackexchange.com/questions/19128/csrf-cookie-vs-session-based-tokens http:// www.veracode.com/security/csrf
这不是万无一失的,也许不是你真正想要的,但这是我能想到的最接近的东西。
缩小/丑化源代码。