这是我的javascript插件的最佳安全技术
我的插件有如下图所示的流程:
要求是在身份验证后进行onclick事务。也就是说,仅当包含page.html的域的所有者已在我的网站上注册时(例如www.MyPluginJS.com/register),他/她才能使用MyPlugin.js。
成功重新注册后,我的注册门户网站会发出Client ID。
我的问题是:
- 为了使
onclick交易安全,我需要使用哪种最佳方法? - 我可能需要确保交易安全的其他参数(例如:MD5指纹)是什么?
- 我可以利用现有的框架(例如OAuth)吗?
我需要一种方法来阻止人们使用尚未注册的MyPlugin.js。
我对安全技术缺乏经验,但我可以设法编写代码。
提前致谢:)
4 个答案:
答案 0 :(得分:1)
您可以使用某种服务器端语言提供JS文件,并为js文件的请求添加键/值对,pe:MyPlugin.js?key = someValue。您的脚本可以将值与存储授权用户的某些数据库表值进行比较。
HTH, 米格尔
答案 1 :(得分:1)
使用jQuery,您可以利用函数$.getScript(url)从服务器端加载javascript文件,避免使用<script>标记。
我们的想法是将getScript函数指向服务器端脚本,该脚本将首先验证用户的会话,如果会话有效,它将返回您要加载的javascript文件内容或否则返回void javascript文件。 / p>
答案 2 :(得分:1)
我看到有些人在他们的网络服务器上使用日期/时间来创建类似于@Michi提到的安全级别。但是,我没有亲自尝试过。
答案 3 :(得分:1)
我认为您应该使用在服务器端创建的session来确保用户已登录。然后,如果设置了会话变量,则可以检查客户端(为方便用户),然后验证会话服务器端(为安全起见)以避免用户篡改客户端代码。
然后,您可以使用AJAX将插件页面的内容加载到iframe中。 jQuery使AJAX更易于管理。
因此,我的简单回答是使用服务器端脚本和会话变量来确保安全性,并在客户端使用jQuery和AJAX以方便用户。
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?