Javascript GET()方法从服务器端获取安全数据是否安全?
我使用Javascript GET()方法从服务器端获取安全数据是否安全?,javascript,angularjs,node.js,security,Javascript,Angularjs,Node.js,Security,我使用GET()方法获取aws sdk、mongojs的密钥和身份验证密钥。AngularJs向我的nodejs服务器发出GET()请求,该请求将我的密钥作为json返回给客户端angurajs控制器 service.js myApp.factory('Api',['$resource', function($resource){ return { MediaCreds: $resource('/key/secret/creds/:id', {
GET()nodejs服务器发出GET()
请求,该请求将我的密钥作为json返回给客户端angurajs控制器
service.js
myApp.factory('Api',['$resource', function($resource){
return {
MediaCreds:
$resource('/key/secret/creds/:id', {
id: '@id'
})
}]);
router.get('/key/secret/creds', function(req, res){
var Creds = require('../../config/key.js')
//console.log(Creds);
res.json(Creds);
});
myApp.controller('userVarCtrlr', ['$scope', 'userVar', 'Api', function($scope, userVar, Api){
$scope.Creds = {};
Api.MediaCreds.get({},function(data){
$scope.Creds = data;
userVar.Creds = data;
console.log($scope.Creds );
});
//...
//Using Creds for atuhenticating to use aws or mongojs..
}]);
NodeJs
myApp.factory('Api',['$resource', function($resource){
return {
MediaCreds:
$resource('/key/secret/creds/:id', {
id: '@id'
})
}]);
router.get('/key/secret/creds', function(req, res){
var Creds = require('../../config/key.js')
//console.log(Creds);
res.json(Creds);
});
myApp.controller('userVarCtrlr', ['$scope', 'userVar', 'Api', function($scope, userVar, Api){
$scope.Creds = {};
Api.MediaCreds.get({},function(data){
$scope.Creds = data;
userVar.Creds = data;
console.log($scope.Creds );
});
//...
//Using Creds for atuhenticating to use aws or mongojs..
}]);
index.js
myApp.factory('Api',['$resource', function($resource){
return {
MediaCreds:
$resource('/key/secret/creds/:id', {
id: '@id'
})
}]);
router.get('/key/secret/creds', function(req, res){
var Creds = require('../../config/key.js')
//console.log(Creds);
res.json(Creds);
});
myApp.controller('userVarCtrlr', ['$scope', 'userVar', 'Api', function($scope, userVar, Api){
$scope.Creds = {};
Api.MediaCreds.get({},function(data){
$scope.Creds = data;
userVar.Creds = data;
console.log($scope.Creds );
});
//...
//Using Creds for atuhenticating to use aws or mongojs..
}]);
GET()方法是加密的,但客户端上的某个人是否可能使密钥可见
这种方法是安全的还是有更好的方法?获取、发布。。。不会有太大的区别-所有这些调用都是公共的,它只是格式化数据、标题等的一种方式。。。
如果要保护get/post呼叫的安全,需要使用https对数据进行加密。但这只会保护信息,而不是通话本身。如果要保护查询,请使用类似oAuth的协议。oAuth 1.0a不带https,oAuth 2.0带https。现在在客户端,由于javascript的性质,客户端本身可以看到信息。GET,POST。。。不会有太大的区别-所有这些调用都是公共的,它只是格式化数据、标题等的一种方式。。。
如果要保护get/post呼叫的安全,需要使用https对数据进行加密。但这只会保护信息,而不是通话本身。如果要保护查询,请使用类似oAuth的协议。oAuth 1.0a不带https,oAuth 2.0带https。现在在客户端,由于javascript的性质,客户机本身可以看到信息。控制客户机的人都可以看到客户机上的任何信息。那么,我如何更新客户机上的AWS s3密钥而不使其可见?控制客户机的人都可以看到客户机上的任何信息。那么,我如何更新客户机上的AWS s3密钥而不使其可见它是可见的?现在我需要对响应数据进行加密。因此,使用https将加密我的数据,直到我将其打印到任何地方(如在前端或控制台中)才可见。对吧?HTTPS提供的加密只涉及网络流量。一旦信息进入浏览器,它就不再加密,浏览器用户可以很容易地看到它。但是如果我不打印它。只要获取数据并使用它,它仍然可以在客户端查看吗?@Karan,传输的数据通常是用户输入的表单数据。您需要什么样的安全性?@Karan如果有一些信息是您的web界面的普通用户不应该看到的,那么不要将这些信息发送给客户端。即使您的JavaScript代码没有显式地显示信息(在表单字段中或通过某种方式更新DOM),浏览器用户也可以轻松地检查您的JavaScript代码正在做什么。因此,使用https将加密我的数据,直到我将其打印到任何地方(如在前端或控制台中)才可见。对吧?HTTPS提供的加密只涉及网络流量。一旦信息进入浏览器,它就不再加密,浏览器用户可以很容易地看到它。但是如果我不打印它。只要获取数据并使用它,它仍然可以在客户端查看吗?@Karan,传输的数据通常是用户输入的表单数据。您需要什么样的安全性?@Karan如果有一些信息是您的web界面的普通用户不应该看到的,那么不要将这些信息发送给客户端。即使您的JavaScript代码没有显式地显示信息(在表单字段中或通过某种方式更新DOM),浏览器用户也可以轻松地检查您的JavaScript代码正在做什么。