バックエンドからHMAC検証を正常に実装しましたが、JSONPサポートを提供したいと思います。クライアントに秘密鍵について知られたくないので、HMACを利用してクライアントから電話をかけるための最良の方法は何ですか?
質問する
785 次
1 に答える
3
攻撃者が秘密鍵を知っていれば、常に有効な HMAC を生成できます。攻撃者は、トラフィックを調べるか、JavaScript を変更することで、この HMAC 値を取得できます。firebug のような JavaScript デバッガーも使用できます。
要するに、このセキュリティ機能はどこにも存在しません。CWE-602違反を非常に慎重に実装しているようです。
クライアントを信頼することは、あなたが犯す可能性のある最悪の間違いです。最新の Web アプリケーション セキュリティの基盤は、サーバーをクライアントから防御することです。あなたには学ぶことがたくさんあると思います。
于 2012-09-27T20:26:01.163 に答える