在我们的应用程序中,组织/员工信息具有 PII(个人身份信息),例如银行帐户信息、社会安全号码等。这些数据从 REST API 响应传输到浏览器。
我们已经实施了以下控制措施
- 数据通过 https 传输
- 验证
- 只有授权用户才能看到完整信息
- 数据库中的数据以加密和屏蔽格式存储
- API 也有安全控制。只有有效用户才能执行 REST API。
我们想添加另一层安全性,即应该对通过 https 传输的数据进行编码。
在 Chrome 浏览器中,如果用户按下 F12 并打开开发工具,用户将能够看到 REST API 响应 JSON 和可读格式的数据。所以我们想确保传输的 PII 数据不应该是可读格式,而应该是编码格式。
如果我们用 Base64 编码 REST API JSON 并使用 Base64 在 JavaScript 中解码,那么黑客仍然可以破解数据并使用 Base64 解码。
关于编码/散列 PII 数据是否有任何其他建议/建议,以便数据在传输时不是可读格式?任何示例实现都会有所帮助。