2016-07-28 2 views
0

Моя команда разработает Портал сотрудников для управления всеми требованиями, связанными с человеческими ресурсами. Он будет разработан с использованием Cordova/Phonegap.Охрана безопасности в Кордове/приложение для телефонного звонка

Поскольку мы используем WebView в Кордове, все файлы ресурсов: HTML, JS, CSS, будут включены по умолчанию в файлы APK. Все пользователи могут просматривать эти файлы ресурсов, которые могут быть формой HTML и всей логикой в ​​JS-файлах.

Когда все пользователи (даже без входа в систему) могут просматривать все файлы HTML и JS, это плохая идея или что-то не о чем беспокоиться? Потому что, на мой взгляд, они могут использовать всю форму, потому что они знают URL конечной точки и все поля POST внутри HTML-формы.

Это не проблема, если они могут просматривать форму и поля после входа в систему (в веб-приложении это обычно происходит), но проблема связана с другими людьми, которые не вошли в систему, они могут это сделать.

На стороне сервера, конечно, у нас есть дополнительная проверка, чтобы предотвратить атакующий, но когда все пользователи знают о конечной точке и всех POST-полях, они на один шаг ближе к взлому, не так ли?

Еще раз, это плохая идея или что-то не о чем беспокоиться? и как защитить файл ресурсов? Пока я понятия не имею.

+0

'JWT' добавит некоторую защиту доступа API. –

+0

спасибо @HardikVaghani, я буду исследовать 'jwt', но как насчет заботы о безопасности пользователя, который может просматривать все формы и поля без входа? – danisupr4

+0

Управление сессиями. Вы сможете достичь с помощью localstorage или sessionstorage. –

ответ

1

Перейти через эту статью один раз The Worst PhoneGap Security Issues And How To Avoid Them

Это вопросы, перечисленные в решении преодолеть для

  1. Scripting Cross-Site
  2. Отсутствие источника защиты кода
  3. JavaScript вопросы безопасности
  4. Предоставление чрезмерных разрешений

С уважением.

+0

Это также хорошие ссылки: https://cordova.apache.org/docs/en/latest/guide/appdev/security/index.html, https : //cordova.apache.org/docs/en/latest/guide/appdev/privacy/index.html – johnborges