1. дома
  2. Вопрос и ответ
  3. Безопасность для JSONP

Безопасность для JSONP

2011-02-10 1 views

ответ

2

Одним из наиболее распространенных подходов является создание ключа API для каждого из этих определенных людей, который в основном действует как комбинация имени пользователя и пароля. Если вы посмотрите, как популярны такие API, как Twitter, вы увидите этот механизм в действии.

Большое преимущество, заключающееся в использовании токена аутентификации, который отличается от обычной проверки подлинности пользователя, заключается в том, что он не может использоваться для полного компрометации их учетной записи. Таким образом, если кто-то получает несанкционированный доступ к ключу, он может просто войти в систему и запросить восстановление своего ключа.

источник

2011-02-10 17:06:55

+0

Эй, Дэйв, большой поклонник вашего сайта Encosia. Вопрос: Как вы думаете, что jsonp + сгенерированный список токенов + referrer - это довольно безопасный способ? Я смотрел на Stripe.com, и они используют одноразовый токен аутентификации для операций с кредитными картами через клиентскую сторону. Я создал прототип библиотеки скриптов для моей электронной системы торговли, которая позволяет чистым пользователям JavaScript использовать вышеуказанные методы перекрестного домена с помощью postMessage. Требуется одноразовый токен для покупок и белый список для данных каталога jsonp. –

+1

@ kitgui.com: Имейте в виду, что заголовок реферера можно легко подделать, поэтому не делайте ставку на этот конкретный механизм как функцию безопасности. Что касается маркеров проверки подлинности платежей, я думаю, что наиболее важные дополнительные соображения состоят в том, чтобы вернуть их только через SSL и абсолютно уверен, что на запрашивающих сайтах отсутствуют уязвимости CSRF или XSS. Высокоценная безопасность - это не мой основной опыт, поэтому я мог бы игнорировать другие важные факторы. –

1

В веб-приложении данные JSON передаются с обычным стеклом HTTP-запросов. Таким образом, вам понадобится HTTPS-соединение, чтобы гарантировать, что данные не были просмотрены. Если вы используете серверную базу данных, это другой вопрос.

источник

2011-02-10 17:03:21 trickwallett

 Смежные вопросы

  • Нет связанных вопросов^_^