在之前的一个问题中,我问到了我自己的安全层概念中的弱点......它依赖于JavaScript加密函数,并且感谢现在的答案,引人注目的一点是,明确表示所有在JavaScript中完成的操作都可以被操纵,并且不能被信任...有什么方法可以验证客户端代码是否是服务器提供的代码?
现在的问题是 - 我仍然需要使用这些,即使我依靠SSL传输......
所以我要问 - 有没有办法使服务器可以检查该网站是使用来自服务器的“正确”的JavaScript?
我想到的任何东西(如散列等)都可能是明显伪造的......并且服务器似乎没有任何可能知道客户端发送了一些数据后发生了什么,通过HTTP标头( - > cookie交换和东西)
+1重要点 – SLaks 2010-09-01 14:49:23
绝不隐式信任来自客户端的任何内容。始终在服务器上进行验证。 – David 2010-09-01 14:53:58