混合移动应用程序中的JavaScript安全风险
让我们假设具有(在)适当服务器端背景的HTML5网页,以便通过AJAX执行http://www.my-site.com/execute?query="SELECT * FROM Table“并返回结果。确实不是很聪明。
但是,在混合移动应用的上下文中,即iOS/Android/WindowsPhone包装器/骨架中的HTML5应用通过适当的存储作为应用程序交付时,情况如何?
问:在混合移动应用的背景下,我们认为JavaScript安全吗?
回答 2
Stack Overflow用户
发布于 2014-05-22 06:51:53
我会说不。
如果有人查看您的网络通信,或者如果您不小心忘记了一些调试日志,那么很可能很容易找到url。当在浏览器中调用时(是移动的或桌面的),查询可能也能工作。
当然,你可以问自己:你的移动应用程序有多受欢迎,甚至有人会试图破解它。但我不赌这个。
编辑:我们通常使用(REST) API,服务器的回答是JSON,然后由客户机解析。不要让任何人能够输入SQL查询!
答:在iOS上的“安全性”方面:您可以使用例如iExplorer浏览设备。在Android系统上,也有一些方法(根设备或亚行)。给定phonegap结构,您的javascript将位于"assets_www“文件夹或类似的文件夹中。因此,如果有人愿意,他/她可以查看javascript的源代码,就像在网上一样。
Stack Overflow用户
发布于 2017-01-19 09:18:22
会造成严重的痛苦。一旦有人找到您的AJAX url,他们将能够删除或插入数据库中的任何内容。
应用程序的逆向工程非常常见,因此一旦应用程序解压缩,就可以很容易地找到AJAX URL。混合移动应用程序可能非常脆弱,如果你把它们看作是本地应用程序。
此外,使用proguard无助于保护您的html/js源代码,所以您最好将它们看作是所有源代码都开放的网站的前端,并保持相同的安全性。
https://stackoverflow.com/questions/23799430
复制相似问题
腾讯云开发者
