SRP-6プロトコルを使用してサーバーへの認証を可能にするJavaScriptライブラリを構築しています。
XSSのため、認証方法としてjavascriptを使用するのは最善の選択肢ではないことを私は知っています。しかし、適切なXSS予防は、ほとんどの問題を取り除くことができます。
私の唯一の懸念は、ユーザーがリクエストを受け取る前にサーバーの応答を変更するのがどれほど簡単かということです。
サンプルシナリオ:
ユーザーリクエストページ:http://serverdomain/home
サーバー:次のように返信します:
<html>
<head>Home</head>
<script type="text/javascript" src="auth.js"></script>
<body>Home</body>
</html>
ユーザーが返信を受け取る前。ハッカーはどういうわけか魔法のように返信を変更できますか
<html>
<head>Home</head>
<script type="text/javascript" src="hacker_auth.js"></script>
<body>Home</body>
</html>
これは可能ですか?これは、JavaScriptを使用して認証するときに考えられる脆弱性の1つです。