我需要一个底层web/javascript安全。如何在Web应用程序中使用Javascript安全地访问Windows Azure移动服务?
据How to use an HTML/JavaScript client for Windows Azure Mobile Services,在客户端的JavaScript,其中包括一个链接到MobileServices.Web-1.0.0.min.js
后,你应该创建一个客户是这样的:
var MobileServiceClient = WindowsAzure.MobileServiceClient;
var client = new MobileServiceClient('AppUrl', 'AppKey');
这意味着包括我在网页上的JavaScript的AppKey 。我应该担心AppKey被公开吗?
而且,它似乎很容易有人在放一个XHR断点阅读X-ZUMO-APPLICATION
和X-ZUMO-AUTH
头,而在已记录时,这样做的用处有所用跨域资源共享白名单减少使得REST调用,但是如何阻止某人使用这些信息将JavaScript添加到页面并对我的后端数据库执行任意操作?在这种情况下,将表权限限制为已通过身份验证的用户将无济于事。
我需要关心吗?银行应用程序对这类事情做些什么?
X-ZUMO-AUTH标题值不是特定于用户的。它是所有客户使用的应用程序密钥,并且是相同的。这只是停止随机访问。 –
这是不正确的。 X-ZUMO-AUTH **特定于登录用户**。您可能正在考虑X-ZUMO-APPLICATION。 – carlosfigueira
我的不好。这是X-ZUMO_APPLICATION。抱歉carlosfigueira。 –