1

是否可以将 javascript 代码发送到客户端,并将信息发送回服务器,而用户无法拦截、查看或更改它。据我所知,这是不可能的,但我不确定某些实时协议,如 socket/ajax。有人可以拦截网络套接字吗?

如果这是不可能的,是否有一个聪明的解决方案来验证代码没有被改变,或者至少让代码更难被改变?也许是 Dom 突变事件?混淆代码/数据的某些敏感部分怎么样?

即:谷歌分析如何知道给定用户没有创建虚假数据?

4

1 回答 1

2

不。

任何客户端都可以获取,可以读取、窃取或更改。

永远不要相信客户端发送到您的服务器的任何内容。即使由客户端代码生成,客户端代码也可能已被更改,这意味着数据不可靠。甚至可以对 Flash 进行反编译,或者可以操纵通过主机浏览器发送的请求。

信任级别仅扩展到这样一个事实,即您可以合理地预期数据在使用 HTTPS 时不会在传输过程中被更改(当然需要注意)。不过,这只是用户和服务器之间的信任关系,因此不考虑应用程序的恶意用户或用户是否受到威胁。

于 2016-04-15T09:56:41.983 回答