我的一位客户说他可以使用 burp 套件查看 html 和 javascript。我们在客户端和服务器端使用了 angularjs,我们使用了 webapi。
他说他不应该在 html 页面中看到敏感数据。我可以知道什么是解决方案。
问问题
925 次
1 回答
1
首先,JavaScript 和 HTML 文件是那些应该发送给用户的数据。因此,如果您有任何不应向用户披露的敏感数据,请不要将它们包含在 JavaScript 和 HTML 中。
作为最佳实践,为了保护您的客户端业务逻辑(并提高页面加载性能),通常建议将 JavaScript 文件丑化和缩小。以这种方式,它们变得人类无法阅读。
但请记住,丑化并不会加密您的数据。例如,如果您想在页面上显示您的银行账户余额,可能有一个 JavaScript 变量bankAccountBalance=100可以重命名为b=100(人类无法阅读),但它的值始终是您银行账户中的实数,即100.
HTML 也可以缩小(而且应该如此)。但它只是有助于删除换行符、额外空间等。它不能保护您的数据。
于 2016-04-21T09:09:00.460 回答