使用JSON通信向用户隐藏AJAX
我们目前正在开发一个web客户端,它使用AJAX和JSON与服务器进行通信。客户端基于gwt,通过https进行通信使用JSON通信向用户隐藏AJAX,ajax,json,gwt,security,Ajax,Json,Gwt,Security,我们目前正在开发一个web客户端,它使用AJAX和JSON与服务器进行通信。客户端基于gwt,通过https进行通信 浏览器工具可以很容易地检查通信-是否有一些合理的方法对用户隐藏通信,即保护协议?除了所有浏览器使用的标准身份验证和加密技术之外,无论您提出什么方法,都必须由您的JavaScript客户端启动。这意味着一个好的黑客可以解构你的JavaScript并弄清楚你是如何提交数据的 安全性通常涉及试图拦截通信或冒充合法用户的第三方,或试图访问不应该访问的地方的恶意用户。一旦您验证了一个用户是
浏览器工具可以很容易地检查通信-是否有一些合理的方法对用户隐藏通信,即保护协议?除了所有浏览器使用的标准身份验证和加密技术之外,无论您提出什么方法,都必须由您的JavaScript客户端启动。这意味着一个好的黑客可以解构你的JavaScript并弄清楚你是如何提交数据的 安全性通常涉及试图拦截通信或冒充合法用户的第三方,或试图访问不应该访问的地方的恶意用户。一旦您验证了一个用户是合法的,为什么您会试图对该用户隐藏用户的数据?也许你可以描述一下你的用例 编辑:
防止僵尸程序的唯一方法是在工作流中的某个位置(即提交重要数据之前)提出只有人类才能回答的问题(例如验证码)。这对用户来说通常很烦人,但没有其他办法。既然你建立了一个游戏平台,请你的设计师拿出一些有趣的验证。只是为了完善安全检查表 1) HTTPS-您已经设置好了:) 2) Json和XSS/XSRF Web安全性-
https://developers.google.com/web-toolkit/articles/security_for_gwt_applications#json-xsrf
https://developers.google.com/web-toolkit/articles/security_for_gwt_applications#json
4) 杂项-谢谢您的回答。这是一个游戏平台。主要原因可能是不允许简单的bot开发。当然,我们不能阻止人们开发只使用浏览器和模拟点击的机器人,但通过开放协议,这将把事情带到另一个层面。只要你没有可信的(硬件)平台(如游戏控制台),你总是只能尝试混淆或隐藏其他数据中的数据。每种加密都需要某种秘密(密钥或类似的东西),如果用户可以访问该秘密,那么他也可以解密它。