私は、機密情報をブラウザーのグローバル変数に保存することに少し偏執的です。誰ではないでしょう。AMD入り!私の質問は、自信を持って require.js を使用して変数を完全に分離し、コンソールからの変数の不要な操作を軽減できるでしょうか? バックドアを見つけた人はいますか、それともより適切な言い方をすれば、require.js ライブラリでセキュリティの問題を目撃した人はいますか? ありがとう!
2 に答える
2
いいえ、できません。グローバル変数がなくても、ユーザーはソース コードを調べてブレーク ポイントを追加できます。コードがブレークポイントに到達すると、実際のスコープでアクセス可能なすべての変数を操作できます。
このgamedevの質問を見てください。ユーザーがコードをだますのを難しくする(不可能ではない)方法についてのアドバイスがあります。
于 2013-08-04T13:06:50.793 に答える
0
ええ、攻撃者はいつでもソースを見ることができます。
しかし、ペイロードのサイズと形状を調整し、クライアントの部分/領域を縮小してモジュール化し、オンデマンドでユースケースの説明に従ってそれらを提供する場合、人間の遊びの仮定のために存在するセキュリティのレイヤーを効果的に追加します.
ボットはサーバー上のディレクトリを単純にトラバースすることはできませんが、代わりに (JavaScript を介して) アプリケーションをインテリジェントにナビゲートし、アプリ内の一意に指定されたポイントでのみコードを取得する必要があります。特定のペイロードがユースケースに不可欠な場合を認識している必要があります (クレジット カード情報 N 画面をプロセスに提供するなど)。
さらに、クライアント コードは、IP アドレスを使用して、または継続的で定期的なリリース サイクルに沿って難読化されます。
于 2013-11-06T06:28:55.753 に答える