将密码/秘密等敏感信息从 Angular 传递到 Webapi 的最佳做法是什么?
在发送到 webapi 之前,我们是否需要在客户端对它们进行哈希/加密?
拥有 https:// 协议就足以在不加密的情况下通过网络传递敏感信息?
让我知道你的想法。
问问题
414 次
1 回答
0
使用 https 正在加密
SSL 是安全套接字层,它使用各种加密算法(在 Web 服务器上配置)来加密任何通信,它是保护信息的最佳手段。发送到客户端的任何数据都会受到损害,因此浏览器中的加密(JS 不是本机的)通常被认为不值得。
建议去 letencrypt 并设置 certbot 来获取/更新你的证书,它也有助于服务器配置。您可能还想查看 linux 上的一般“服务器强化指南”我还使用了一个lynis在服务器端调用的程序来帮助审计/锁定事情。还有一些公司会评估你的服务器允许的哈希算法,以验证它没有使用任何已知有漏洞的算法(如 heartbleed),通常这些公司被宣传为“PCI 认证”公司,但测试基本上都是自动化的。(PCI 是支付卡行业或签证/万事达卡安全最佳实践,如果不遵守并且数据丢失,如果您不遵守 PCI 规则/建议,您可能会被认为承担更多责任)
遵循一般安全最佳实践并编写不受 SQL 注入影响的代码将使您领先于大多数不幸的是,但安全性没有灵丹妙药(与性能相同):
于 2018-01-11T20:11:38.357 回答