是否可以通过外部方式从WebApp中获取内存中javascript对象的数据？

假设我们在javascript变量的内存中有一个超级安全的令牌。黑客有可能从内存中获取令牌吗

我正在评估是否应该为高度敏感的数据添加额外的加密

这可能包括通过JSON或CSV加载到浏览器中的计算数据。我们希望确保它不会受到任何类型的进程的影响，这些进程可能会读取内存中的javascript浏览器对象。

是的（可能）。根据执行javascript的内容，无论是服务器上的nodejs还是客户端上的浏览器，javascript都在某个进程中运行。大多数现代操作系统保护用户进程中的数据不受以不同用户身份运行的进程的影响。但是，作为同一用户运行的进程通常能够相互影响。如果您的进程需要将javascript令牌的敏感内存内容与可能已获得对同一操作系统的访问权限的攻击者隔离开来，则必须以独立于攻击者的用户身份运行该进程，以确保安全。如果在浏览器中运行此操作，那么考虑JavaScript有效载荷中的所有内容，都可以由恶意用户或恶意用户操作系统上的恶意软件读取（和可写）。如果您在自己控制的环境中运行javascript，那么您当然可以通过以同一操作系统上的其他（恶意）用户无法访问的用户身份运行该进程来隔离该进程

---

如果要发送到在不受信任的客户端环境上运行的javascript应用程序的令牌包含不想公开的信息，请在服务器端对其进行加密，不要将密钥发送给客户端进行解密。

感谢您的精心设计-关于计算数据的任何想法-例如，我们可能会在浏览器中对客户端执行分析，但这是高度敏感的数据，我们不希望任何其他客户端/浏览器进程能够在内存中达到峰值。数据可以通过CSV或JSON从桌面加载，我们希望确保它不受任何操作系统进程或浏览器黑客技术的窥探。更新了添加计算数据部分的问题。在主题中找到了此资源-它对浏览器数据可能发生的情况有很好的概述：