Angularjs 和打嗝套件

【问题标题】:Angularjs and burp suiteAngularjs 和打嗝套件
【发布时间】:2016-04-21 07:49:58
【问题描述】:

我的一位客户说他可以使用 burp 套件查看 html 和 javascript。我们在客户端和服务器端使用了 angularjs,我们使用了 webapi。

他说他不应该在 html 页面中看到敏感数据。我可以知道什么是解决方案。

【问题讨论】:

  • 我猜你需要缩小和丑化 javascript 文件。
  • HTML 也可以缩小,但它不能保护您的数据。如果您将敏感数据放在 HTML 中,请将其移至 JavaScript。

标签: angularjs suite burp


【解决方案1】:

首先,JavaScript 和 HTML 文件是那些应该发送给用户的数据。 因此,如果您有任何不应向用户披露的敏感数据,请不要将它们包含在 JavaScript 和 HTML 中。

作为最佳实践,为了保护您的客户端业务逻辑(并提高页面加载性能),通常建议将您的 JavaScript 文件添加到 uglifyminify。以这种方式,它们变得人类无法阅读。

但请记住,丑化并不会加密您的数据。例如,如果您想在页面上显示您的银行账户余额,可能有一个 JavaScript 变量 bankAccountBalance=100 可以重命名为 b=100(人类无法阅读),但它的值始终是您的银行帐户,即100

HTML can be minified as well(应该是这样)。但它只是有助于删除换行符、多余的空间等。它并不能保护您的数据。

【讨论】:

  • 在 html 页面中,我们使用了 {{ }} 表达式和 ngbind 类似 {{x.sno}} 的东西。所以客户说这是我们不应该在 burp 套件中显示的敏感信息,我想让你知道从服务器发送和接收的数据是加密的。这真的是敏感信息吗?我们有任何安全问题吗?
  • 据我所知,这不是安全问题。我可以建议说服客户: 1. 将变量重命名为与数据库中的字段名称不同; 2. 使用ng-cloakng-bind(不是{{}})来防止向最终用户显示{{}}
猜你喜欢
  • 1970-01-01
  • 2017-09-14
  • 1970-01-01
  • 2023-04-05
  • 2011-11-05
  • 1970-01-01
  • 2012-03-23
  • 2016-05-27
  • 2014-05-18
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode