Bir Flux (özellikle Redux) mağazasında bir kimlik doğrulama çağrısıyla döndürülen bir API jetonu saklamak güvenli midir? Webpack'i, projedeki tüm varlıkları derlemek için kullandım. Bu, mağazanın okuyucuyu okumak ve belirteci çıkarmak isteyen üçüncü taraf komut dosyalarından erişilemediği anlamına geliyor. Ne olursa olsun, jeton bir Authorization: bearer ...
başlığında HTTPS üzerinden gönderilen için API tokens bir Flux (Redux) mağazasında güvenli midir?
cevap
, o zaman sayfanın tüm bütünlüğü bozulduğu olarak hiçbir şey güvenli olduğunu varsayalım gerekir.
yalnızca güvenilir komut çalışıyorsa, o zaman belirteci güvenlidir varsayabiliriz, tarayıcının güvenlik ve nasıl güvenceye sitenizin XSS saldırılarına karşı olduğu tabi.
DÜZENLEME:
netleştirmek için, bu 3. parti komut dosyalarından güvenliğidir. Simgeni kullanıcıdan gizlemeye çalışıyorsanız, o zaman cevap, kullanıcının makineye erişimi olduğu sürece kodunuzu ne kadar güldürüyorsanız olun, her zaman güvensiz olacaktır, en sonunda kullanıcı buna erişebilir. (bunu daha da zorlaştırabilirsiniz, ama imkansız değil).
@Carson Buna ek olarak, JS'de depolanan hiçbir şeyin güvenli olduğu varsayılmamalıdır. Çünkü, sayfanıza erişimi olan herhangi bir betik teoride, senaryona/kapsama erişebilir. Trevor ile aynı fikirdeyim; Bu gerçekten, sayfanızda çalışan komut dosyalarına ne kadar güvendiğinizi gösterir. –
- 1. redux düşürücü dönüş 'defaultState' yapmak güvenli midir?
- 2. C soketi API iş parçacığı güvenli midir?
- 3. PHP exec güvenli midir?
- 4. Bu dişler güvenli midir?
- 5. $ _SERVER ['HTTP_REFERER'] güvenli midir?
- 6. Chmod 757 güvenli midir?
- 7. Hunspell dişli güvenli midir?
- 8. Konsol.yazı ipliği güvenli midir?
- 9. Marangoz dişli güvenli midir?
- 10. , Magento parçacığı güvenli midir?
- 11. page tokens youtube api v3'ü kullanın
- 12. Bir Redux uygulamasında api yanıtlarını normalleştirme noktası nedir?
- 13. Libuv vida dişi güvenli midir?
- 14. gen_tcp: accept/1 güvenli midir?
- 15. dealloc içinde dispatch_async güvenli midir?
- 16. putStrLn iş parçacığı güvenli midir?
- 17. Epoll iş parçacığı güvenli midir?
- 18. Singleton kullanmak güvenli midir? ExecutorService
- 19. DatagramSocket.send iş parçacığı güvenli midir?
- 20. System.ServiceModel.Channels.BufferManager iş parçacığı güvenli midir?
- 21. ClassLoader iş parçacığı güvenli midir?
- 22. Bir amacı yeniden kullanmak güvenli midir?
- 23. Statik bir son char [] parçacığı güvenli midir?
- 24. Bir servlet içinde java.util.Timer kullanmak güvenli midir?
- 25. Trove kütüphanesi iplik güvenli midir?
- 26. Dinlenme api ile React + Redux?
- 27. ndb görevinin içinde images.get_serving_url_async() kullanmak güvenli midir?
- 28. javax.xml.ws.Service nesnelerini yeniden kullanmak güvenli midir?
- 29. Tweet ID'lerini BIGINTs olarak saklamak güvenli midir?
- 30. sharedUserId: Uygulama zaten pazardayken değiştirmek güvenli midir?
Kesinlikle hayır. En azından, API anahtarınızın herkes tarafından görüntülenmesinin uygun olmadığı sürece. Herhangi bir zamanda istemcideki JS'deki verilere herkes erişebilir (örneğin: chrome dev tools). –
Bunu okuyun; http://stackoverflow.com/questions/20963273/spa-best-practices-for-authentication-and-session-management –