使用Web加密API验证JavaScript中的Browserid断言
中建议在web浏览器中添加的JavaScript运行时环境是否允许我们使用JavaScript在浏览器中进行安全验证?您可以使用JavaScript在客户端验证BrowserID断言,但问题是您不能信任客户端 例如,用户可以通过代理服务器运行代码,代理服务器会更改Javascript以始终声明断言是有效的。除非您正在进行服务器端验证,否则您的服务器代码将容易受到声称一切正常的客户端的攻击,而事实上断言是虚假的使用Web加密API验证JavaScript中的Browserid断言,javascript,security,cryptography,webcrypto-api,browserid,Javascript,Security,Cryptography,Webcrypto Api,Browserid,中建议在web浏览器中添加的JavaScript运行时环境是否允许我们使用JavaScript在浏览器中进行安全验证?您可以使用JavaScript在客户端验证BrowserID断言,但问题是您不能信任客户端 例如,用户可以通过代理服务器运行代码,代理服务器会更改Javascript以始终声明断言是有效的。除非您正在进行服务器端验证,否则您的服务器代码将容易受到声称一切正常的客户端的攻击,而事实上断言是虚假的 任何浏览器API都不会改变这样一个事实,即就服务器而言,您不能依靠客户端做正确的事情。
任何浏览器API都不会改变这样一个事实,即就服务器而言,您不能依靠客户端做正确的事情。服务器需要自己进行验证。谢谢。我也很担心,但希望新的API可能会带来新的可能性。