我很好奇其他开发人员在使用 JQuery 插件方面存在哪些安全问题(如果有的话)。我很少看到有关 JQuery 的安全性的讨论。真的不是问题吗?
欣赏你的想法!
tribus
问问题
930 次
3 回答
7
就我个人而言,我对 Javascript 足够熟悉,能够快速浏览插件代码并理解可能的不当行为。
我寻找的是与 javascript、跨域通信最相关的安全问题,这通常是通过创建iframes、script/img标签等来完成的。
但大多数时候,我信任社区,例如,如果它在http://plugins.jquery.com/上,它通常是受信任的来源。
于 2009-02-10T20:33:44.460 回答
2
jQuery 不能做任何 javascript 本身不能做的事情,所以所有相同的安全标准都适用。基本上 - 永远不要依赖它来保证安全。始终验证服务器端的所有输入。
考虑它的最佳方式是,从安全角度来看,客户端 javascript 实际上并不是应用程序的一部分。您的应用程序包含对服务器的所有可能的 http 调用。为了获得良好的安全性,假设黑客甚至不会使用浏览器——他们会直接向您的服务器发出 http 请求。确保你没有暴露你的 http 端点中的任何漏洞,你应该没问题。
注意:我在此回复中假设您正在谈论数据和系统安全性。用户安全(防止您的用户被网络钓鱼等)是另一个问题,但我不确定它与 jQuery 的关系是否与一般的 javascript 有关。
于 2009-02-10T20:39:23.433 回答
0
最流行的在主要网站上的整个网络上都使用。如果存在安全问题,其他人可能已经注意到它。此外,许多最常用的 jQuery 插件都来自社区中非常活跃的开发人员,因此信任它们是相当安全的。(想到做验证插件的人 Jörn Zaefferer)
诚然,始终测试并始终持怀疑态度是个好主意,但在某些时候,过度担心会变得成本效率低下。
于 2009-02-10T20:37:06.997 回答