8

サードパーティのウィジェットを構築しています

クライアント ページにスクリプトをドロップし、いくつかのコンテンツを読み込みます。

私が直面している問題は、ウィジェットをどのように保護するかです。サード パーティのウィジェットとして、100% 保護する方法はないことを私は知っています。しかし、「十分な」アプローチを考え出そうとしています。

顧客以外が競合他社のサイトから私たちのスクリプトを盗んで、自分のサイトで使用することを困難にしたいと考えています。

私が目にする解決策は、要求ドメインの検証をプルすることです (なりすましの可能性があることはわかっていますが、これを防ぐことができるかどうかはわかりません)。

script でクライアントごとに一意の ID を使用する olark や olapic などの他のウィジェットを見てみましたが、それがどれほど役立つかわかりません。

サードパーティのウィジェットを保護するためのベスト プラクティスは何ですか?

4

2 に答える 2

2

テナントのクライアント アクセスの保護

テナントのサード パーティ クライアントから Javascript へのアクセスをセキュリティで保護するには、一連の固有の課題が生じます。このソリューションの難しさのほとんどは、認証メカニズムがテナントの Web コンテンツに存在し、クライアントのブラウザーから配信される必要があるという事実に起因しています。セッション、クッキー、カスタム ヘッダー、リファラー、IP アドレス制限などの標準的なクライアント<>サーバー認証メカニズムは、トランザクションの拡張された性質のために適切に適用されません。

Bill Patrianakos によるこの記事では、テナントのクライアントにアクセス トークンを提供する動的キー要求を使用するソリューションを提供します。

Patrianakos は、サード パーティのテナントとの関係に関する有益な情報を提供し、このモデルの制限について彼の記事で説明しています。

Javascript コードの保護

Javascript でコードを保護することは、実行時にクライアント ブラウザーによってコードが解釈される必要があるため困難です。ただし、Google Closure Compilerを使用して Javascript を難読化することは可能です。コンパイラの高度な最適化機能は、低レベルの参照の名前変更を提供し、ウィジェットを配信するためのよりコンパクトなコードも提供します。

高度な最適化を使用して Javascript をコンパイルするには、次のコマンド ラインを使用します。

java -jar compiler.jar --compilation_level ADVANCED_OPTIMIZATIONS \
  --js myWidget.js --js_output_file myWidget.min.js

いくつかの重要な注意事項があります。 この記事では、コードが正しく機能することを保証するために、コードで避けるべきいくつかのことについて説明します。また、ウィジェットが適切に動作することを確認するために、優れたqunitテスト フレームをお勧めします。

于 2014-03-26T17:07:36.943 に答える
1

ウィジェットを保護するために、偽造されたリクエストを防ぎたい場合は、ポップアップを開いて、完全に管理されているサーバーからページを開き、そこで「ツイートを公開する」などのアクションを確認する必要があります。

さらに詳しい議論については、この質問の回答を参照してください。

Javascript が盗まれるのを防ぐには、圧縮だけでは十分ではありません。難読化ツールを使用することをお勧めします。[JScramble] の例を見てください。これは、それがどのように機能するかについてのプレゼンテーションです。

于 2014-03-26T20:24:18.080 に答える