1

以下是我的 Web 应用程序的架构。

  1. 在 nginx 上运行的 Web UI(Angular JS)
  2. 在 glassfish 应用服务器上运行的后端数据访问层(Java 应用)

我的问题是,如何防止有效用户使用某些代理工具篡改或操纵 REST 服务 JSON 请求。

我想到的一件事是加密 JSON,但这仍然会公开公钥和如何加密它的源代码,因为它是在客户端脚本上完成的。有没有更好的方法来做安全的 JSON 请求?

PS:我不是在谈论“中间人攻击”。这与会话劫持无关。这是关于使用篡改工具篡改 POST 请求的有效会话用户。

4

1 回答 1

1

你不能

任何在客户端运行的东西都会被暴露。几乎所有东西都可以被篡改。

因此,最好的选择是在处理来自客户端的数据之前进行强大的服务器端验证。

于 2018-10-19T03:32:29.163 回答