【发布时间】:2014-02-12 11:10:44
【问题描述】:
我正在使用 javascript 和 canvas 开发 HTML5 游戏,我想知道如何保护它免受 firefox 暂存器或任何其他类似的脚本注入工具的影响。
如果任何用户可以在我的运行自己的代码,我真的不明白如何阻止他调用 onWin() 方法或将其分数修改为 10 亿等等。
这是一个巨大的安全漏洞,我现在正在考虑用 flash 或 java 重新编码。
你怎么看?
问候。
【问题讨论】:
-
重新编码到 flash 或 java 无关紧要,如果你只要做客户端检查。
-
我看不出我可以在服务器端做什么样的检查来检测请求是否合法。当用户赢得一个关卡时,我可以发出 ajax 请求来更新数据库,但是使用 scracthpad,任何用户都可以在不播放的情况下调用它,或者在调用之前将所有目标标志设置为“true”等。我可以提供的任何其他信息用户可能会看到添加的请求。服务器无法知道关卡是否真的玩过。
标签: javascript security code-injection scratchpad