我们有一个在第三方网站上运行的“小部件”,即任何使用我们的服务注册并嵌入JavaScript的人。在第三方网站上运行的安全JavaScript
目前,我们使用JSONP所有通信。我们可以通过使用iFrame和一些魔术来检测加载事件,从而安全地签署人员并创建帐户。 (从本质上讲,我们要等到iFrames源代码重新指向客户端域,然后再从其标题中读取成功值)。
因为我们正在JSONP运行,我们可以使用浏览器的HTTP cookies如果用户登录检测。
然而,我们在转变我们的系统运行的实时性和在网页的过程中插座。我们仍然使用相同的身份验证方法,但我们不一定会使用JSONP进行其他调用。相反,这些电话将在网页套接字(使用库王菲)
我怎样才能确保这种情况发生?潜在的安全漏洞是,如果有人从现有网站上复制JavaScript,改变它,然后让人们访问他们的网站。我认为这会破坏我最初的想法,即在登录时发回安全令牌,因为恶意JavaScript能够读取它,然后使用它执行经过身份验证的操作。
我是更好保持我的安全操作运行在普通JSONP和我在WebSockets的更新?