以下是我的Web应用程序的体系结构。
我的问题是,如何防止有效用户使用某些代理工具篡改或操纵REST服务JSON请求。
我想到的一件事是对JSON进行加密,但是由于它是在客户端脚本上完成的,因此它仍然会公开公钥以及如何对其进行加密的源代码。有没有更好的方法来执行受保护的JSON请求?
P.S:我不是在说“中间人进攻”。这与会话劫持无关。这是关于有效的会话用户使用篡改工具篡改POST请求。
答案 0 :(得分:1)
您不能。
任何在客户端运行的内容都被公开。几乎所有东西都可能被篡改。
因此,最好的选择是,在处理来自客户端的数据之前,您必须进行强大的服务器端验证。