Fatal编程技术网
  • javascript/
  • 通过javascript或jquery发送安全HTTP Post?

通过javascript或jquery发送安全HTTP Post?

javascript jquery security http post

通过javascript或jquery发送安全HTTP Post?,javascript,jquery,security,http,post,Javascript,Jquery,Security,Http,Post,我在这里遇到的问题是关于尝试安全地发送HTTP POST数据(没有任何人使用HTTP头查看器查看传递了哪些数据变量?) 这可能吗 这是一个场景: 网站A为所有不了解或不想在其网站上建立数据库的网站用户提供“免费在线数据库” 网站B使用网站A的服务发送客户的电子邮件地址 网站B需要向网站A发送带有特殊“APIkey”的帖子数据-这不能向公众显示,否则公众可以使用网站B未授权的APIkey和垃圾邮件请求 如果不在网站B上使用PHP,如何实现这一点?我希望它尽可能简单(例如,一个javascript插

我在这里遇到的问题是关于尝试安全地发送HTTP POST数据(没有任何人使用HTTP头查看器查看传递了哪些数据变量?)

这可能吗

这是一个场景:

网站A为所有不了解或不想在其网站上建立数据库的网站用户提供“免费在线数据库”

网站B使用网站A的服务发送客户的电子邮件地址

网站B需要向网站A发送带有特殊“APIkey”的帖子数据-这不能向公众显示,否则公众可以使用网站B未授权的APIkey和垃圾邮件请求

如果不在网站B上使用PHP,如何实现这一点?我希望它尽可能简单(例如,一个javascript插件),但我是否能够保护它,使网站B的访问者看不到发送的是什么帖子数据

希望您理解并提前感谢您

你所要求的就像是拿一根香蕉做一个苹果

这只是一个很大的安全漏洞。而且是一个大号码,只在服务器端。永远不要相信客户(web broswer)

你的要求就像试图拿一根香蕉做一个苹果

这只是一个很大的安全漏洞。而且是一个大号码,只在服务器端。永远不要信任客户端(web浏览器)

不,这是不可能的

正如您所描述的,JavaScript将在浏览器中执行。 浏览器由用户控制,因此无法隐藏用于对中等技能攻击者的请求进行签名的密钥

作为补充说明,使用HTTPS也不会有帮助。HTTPS只能帮助隐藏密钥,以防第三方观看通信。它不会阻止站点用户从JS中提取密钥。

不,这是不可能的

正如您所描述的,JavaScript将在浏览器中执行。 浏览器由用户控制,因此无法隐藏用于对中等技能攻击者的请求进行签名的密钥

作为补充说明,使用HTTPS也不会有帮助。HTTPS只能帮助隐藏密钥,以防第三方观看通信。它不会阻止站点用户从JS中提取密钥。

您想使用https,如果您想使用https,确实不建议使用httpsecurity@MarkoMackic-使用HTTPS会马上解决这个问题吗?我只需要一个变量(APIKEY)就可以隐藏/不可能从查看源代码或http头嗅探器中找到。我不知道您可能可以用http做些什么,但https可以马上解决这个问题:)但http解决方案包括某种服务器端脚本:)您不能在浏览器中使用javascript隐藏该密钥。唯一安全的方法是在您的服务器上使用一个代理,该代理具有密钥并向/从API传输数据,这不会阻止中间人。如果您想使用https,实际上不建议使用httpsecurity@MarkoMackic-使用HTTPS会马上解决这个问题吗?我只需要一个变量(APIKEY)就可以隐藏/不可能从查看源代码或http头嗅探器中找到。我不知道您可能可以用http做些什么,但https可以马上解决这个问题:)但http解决方案包括某种服务器端脚本:)您不能在浏览器中使用javascript隐藏该密钥。唯一安全的方法是在您的服务器上使用一个代理,该代理拥有密钥并向/从API传输数据,这不会阻止中间人这最适合作为注释!很抱歉。但除了我自己的帖子或答案之外,我无法对任何帖子或答案发表评论。你必须努力一点才能赢得更多的声誉,然后你可以随心所欲地发表评论。我一开始并没有发现你的声誉很低。这不是一个销售代表的问题,而是android应用程序的问题。我在我的笔记本电脑上的网站上,它的应用程序缺少该功能,或者我现在已经获得了足够的代表性。同样,帖子和评论也不能从android应用程序中删除。这最适合作为评论!很抱歉。但除了我自己的帖子或答案之外,我无法对任何帖子或答案发表评论。你必须努力一点才能赢得更多的声誉,然后你可以随心所欲地发表评论。我一开始并没有发现你的声誉很低。这不是一个销售代表的问题,而是android应用程序的问题。我在我的笔记本电脑上的网站上,它的应用程序缺少该功能,或者我现在已经获得了足够的代表性。同样,帖子和评论也不能从android应用程序中删除。你能想出任何方法来实现这一点吗?JQuery,还是其他语言?我敢肯定,如果网站使用PHP并通过它发送http请求,这是可能的——但我想为所有网站制作某种插件/插件——中间网站是在服务器端运行的基本html?PHP。JavaScript在用户端运行。身份验证必须在服务器上进行,因此必须在应用程序的控制下进行。无法保护客户端身份验证。您所面临的问题是一个与您使用的语言无关的信息安全基本问题。你可以在服务器上使用类似nodeJS的东西来运行JS,但无论你使用JS、Flash或任何其他客户端语言,你使用本地JS进行身份验证的站点插件的方法都注定会失败。你能想出任何方法来实现这一点吗?JQuery,还是其他语言?我敢肯定,如果网站使用PHP并通过它发送http请求,这是可能的——但我想为所有网站制作某种插件/插件——中间网站是在服务器端运行的基本html?PHP。JavaScript在用户端运行。身份验证必须在服务器上进行,因此必须在应用程序的控制下进行。无法保护客户端身份验证。你所面临的问题是一个根本性的问题