Моя команда разработает Портал сотрудников для управления всеми требованиями, связанными с человеческими ресурсами. Он будет разработан с использованием Cordova/Phonegap.Охрана безопасности в Кордове/приложение для телефонного звонка
Поскольку мы используем WebView в Кордове, все файлы ресурсов: HTML, JS, CSS, будут включены по умолчанию в файлы APK. Все пользователи могут просматривать эти файлы ресурсов, которые могут быть формой HTML и всей логикой в JS-файлах.
Когда все пользователи (даже без входа в систему) могут просматривать все файлы HTML и JS, это плохая идея или что-то не о чем беспокоиться? Потому что, на мой взгляд, они могут использовать всю форму, потому что они знают URL конечной точки и все поля POST внутри HTML-формы.
Это не проблема, если они могут просматривать форму и поля после входа в систему (в веб-приложении это обычно происходит), но проблема связана с другими людьми, которые не вошли в систему, они могут это сделать.
На стороне сервера, конечно, у нас есть дополнительная проверка, чтобы предотвратить атакующий, но когда все пользователи знают о конечной точке и всех POST-полях, они на один шаг ближе к взлому, не так ли?
Еще раз, это плохая идея или что-то не о чем беспокоиться? и как защитить файл ресурсов? Пока я понятия не имею.
'JWT' добавит некоторую защиту доступа API. –
спасибо @HardikVaghani, я буду исследовать 'jwt', но как насчет заботы о безопасности пользователя, который может просматривать все формы и поля без входа? – danisupr4
Управление сессиями. Вы сможете достичь с помощью localstorage или sessionstorage. –