前端如果要执行一段后端返回的代码,怎么做安全?
在前端执行后端返回的代码时,为了确保安全性,可以采用以下几种方法:
- 沙箱环境:在一个隔离的沙箱环境中执行后端返回的代码,这样可以防止恶意代码对系统造成损害。可以使用如 Google Caja、JSandbox 等第三方库来实现沙箱环境。
- 输入验证:在执行后端返回的代码之前,对其进行验证,确保代码不包含任何恶意内容。可以使用如 DOMPurify、xss 等第三方库来进行输入验证。
- 限制权限:在执行后端返回的代码时,限制其访问权限,只允许访问必要的资源。可以使用如 Node.js 的 vm 模块或 Web Workers 来实现权限限制。
- 代码审查:在后端返回的代码执行之前,对其进行审查,确保代码不包含任何潜在的安全风险。可以使用如 ESLint、Prettier 等代码审查工具来进行代码审查。
推荐的腾讯云相关产品:
- 云函数 SCF(Serverless Cloud Function):通过云函数 SCF,用户可以在无需购买和管理服务器的情况下,轻松部署、运行和扩展自己的代码。云函数 SCF 支持多种编程语言,并提供丰富的触发器类型,可以帮助用户更加高效地进行前后端代码的执行和调用。
- 对象存储 COS(Cloud Object Storage):对象存储 COS 提供了一种安全、可靠、高效的云存储服务,可以存储各种类型的文件,支持多种编程语言的 SDK。用户可以通过对象存储 COS 来存储和管理前后端代码,并通过 CDN 加速来提高访问速度。
- 内容分发网络 CDN(Content Delivery Network):内容分发网络 CDN 可以将用户的静态资源缓存到全球各地的边缘节点,从而加速资源的访问速度。用户可以通过内容分发网络 CDN 来加速前后端代码的访问速度,并提高用户体验。
总之,在前端执行后端返回的代码时,需要考虑安全性问题,可以通过沙箱环境、输入验证、限制权限和代码审查等方法来提高安全性。同时,腾讯云提供了相关的产品和服务,可以帮助用户更加高效地进行前后端代码的执行和调用。
相关·内容
我有两个服务器: web服务器(前端)和分析服务器(后端)。我需要通过Sidekiq将一个作业从前端服务器传递到后端服务器。
我的黑客是:
在web服务器和后端服务器中安装Sidekiq。我现在有前端的边框和后端的边框。
配置前端Sidekiq,使其指向后端Sidekiq的Redis服务器。换句话说,两个Sidekiq共享相同的Redis数据库服务器。
现在,我需要从前端Sidekiq为作业排队,然后从后端Sidekiq执行一段代码。
我该怎么做呢?
浏览 11提问于2013-09-20得票数 0
回答已采纳
前端与后端通信。我是前端和后端的开发人员。我想保护我的应用程序(禁止最终用户使用我的应用程序不付费)。我唯一想到的就是有一些中间点,一些我的服务器。前端发送一些编码的请求到我的服务器,那里的请求被转换成一种形式,后端可以理解。只有这样,后端才能直接回答前端,而不需要我的服务器作为通信链中的中介。客户端向我的服务器发出请求,但直接从位于其一侧的后端获取数据。我没有任何私人客户信息,但我有能力保护应用程序。这条路对吗?通常是怎么做的?前端反应应用程序,后端- php。
更新:
换句话说,我的问题。我已经创建了一个应用程序。它由两个部分组成:前端(React)和后端(Laravel)。我想让它为最终
浏览 0提问于2021-02-10得票数 1
什么时候在前端选择confirmCardPayment,什么时候在后端选择paymentIntent.Confirm?
目前,我们的应用程序允许您签出作为客人,保存信用卡,如果您不是客人或使用已保存的卡。
所有这些流都不需要前端的confirmcardpayment和后端的paymentintent.confirm。
我猜会有一段时间,信用卡支付需要额外的认证,也就是我们需要在前端确认还是在后端确认?(另外,何时/为什么一张卡需要额外的身份验证?新的空间,并期待学习)
我们的代码大致如下:
PS:来自上述链接的TLDR是:
前端:
使用给定的卡或保存的卡创建支付方法。将POST /pay AP
浏览 32提问于2022-03-26得票数 1
回答已采纳
我们正在将后端从MSAccess转移到server 2008 R2 Express。我们已经将MSAccess查询更改为存储过程。数据是关于250,000+记录的。
我们在MSAccess的后端有两个表,它们可以变成非常大的….PartsInventory_BE和Service_BE.
尽管如此,当我们测试了大约9,000张来自Access前端与我们的访问后端对话的记录时,.It花了20-30秒的时间加载了一张显示了所有9,000条记录的表格。通过这种性能,我们完成了一个工作,使前端现在包含一个名为PartsInventory的相同表,它不断地同步PartsInventory和PartsInv
浏览 1提问于2013-03-08得票数 0
回答已采纳
1回答
这都是逻辑的问题。我不寻找任何代码/脚本或查询。在web开发中,我们基本上创建了两个文件。1用于前端,另1用于后端。
前端将有用于用户输入的表单。
后端将把用户输入的数据插入数据库。
我想知道如何使后端文件更安全,这样黑客/攻击者就不能使用它或在数据库中插入数据。
编辑:这个问题有点不同,因为它是关于后端文件安全的。
浏览 2提问于2016-01-09得票数 0
2回答
两个项目可以使用相同的数据库吗?
、、、、
这个问题听起来可能很模糊,但事实上,这是我已经想了一段时间的事情,我不知道该怎么做。
我已经和Laravel 5合作了一段时间,但是我用Laravel开发的大多数项目都有前端应用程序和后端应用程序在同一个项目中--这一次的要求是创建两个单独的项目,一个用于前端,另一个用于后端。
当试图弄清楚控制器将如何与模型交互,以及如何处理迁移时,就会产生询问?我必须为前面和后端的每一张桌子做一个模型吗?
目标是在两个项目中使用相同的数据库,而不会出现迁移和模型方面的问题。
编辑1我所说的前端应用程序是一个网站,在那里数据将被显示,人们将在那里进行交互,在那里他们会看到一些东西。后端应用程序是一个管理员将编
浏览 4提问于2015-06-09得票数 3
如果我想在后台运行一些代码后调用一个javascript函数,该怎么做?我不想在前端添加onclientclick事件。在运行某个后端代码后,我需要运行前端函数。提前谢谢。
浏览 0提问于2011-09-01得票数 0
回答已采纳
我面临着使用Spring和Angular java脚本制作登录页面的问题。请告诉我怎么做。我使用Angular java脚本作为前端,java作为后端。我看到了很多东西,但这对我没有帮助。我知道我的要求太多了,但我只有最后的希望。
浏览 2提问于2015-10-06得票数 0
1回答
我有一个Node应用程序,它应该在一个Docker容器上运行前端,在另一个容器上运行后端。前端和后端都在使用Express。目前,我正在尝试将前端客户端调用的API重定向到后端。
示例:运行在38.127.211.116上的前端调用api / api /get/toy/1,这个api应该被转发到运行在87.105.146.57的后端。
我使用前端服务器中的代理实现了这一点,我使用了一个名为“”的npm包。目前,我的代码看起来如下( path ?api下的所有内容都被转发到后端):
.use('/api', createProxyMiddleware({
target:
浏览 3提问于2021-06-07得票数 1
回答已采纳
1回答
我用React作为前端。我用react-google-login和react-facebook-login登录Google和Facebook。
它给了我前端的accesstoken。
我将这个accesstoken传递给后端(我在hapi中使用Node )。
但是在后端,我如何才能使用userDetails从谷歌或Facebook获得accesstoken,并通过刷新令牌获得新的accesstoken?
更新:
好的,在google oauth2过程中有三个步骤。
取授权码
交换授权代码以获取访问令牌
传递访问令牌以获取用户信息
当我把前端和后端解耦的时候。在这三个步骤中,
浏览 0提问于2018-11-16得票数 3
回答已采纳
我有一个Access应用程序,它分为存储数据表的后端和驻留UI和业务逻辑的前端。如何在不允许最终用户通过前端查看后端数据表的情况下分发应用程序。我将前端编译成一个.accde文件,并禁用“显示导航窗格”和“使用访问特殊键”选项。此外,我还有一段VBA代码,它在退出时执行以禁用这些选项,这样,如果最终用户启用了这些选项,代码就会禁用它们。但是,如果用户启用这些选项,然后从任务管理器终止MS Access,则当再次启动前端时,用户可以查看导航窗格。
保护我的应用程序,使用户只能访问窗体和报表,而不能访问基础数据的最佳方法是什么?
浏览 0提问于2012-02-17得票数 1
1回答
我正在用JHipster配置后端(在Java中)和前端(在JHipster中)。
我想使用我自己的前端代码,它在AngularJS中,而不是由JHipster生成的代码。
问题是:
在后端的任何API调用之后,我都会得到一个身份验证错误。
是否有一种方法可以在后端禁用身份验证检查,还是必须在前端添加整个身份验证过程?
浏览 3提问于2015-06-03得票数 2
回答已采纳
1回答
哟哟!我正在构建一个利用OAuth从提供程序API中提取用户数据的应用程序,并想知道我所选择的流程是否符合RFC。
目前,用户登录到授权服务器,该服务器向我的前端客户端发送一个auth代码。然后,前端将auth代码传递给我的后端,后者将其交换为auth令牌,然后调用提供者来提取数据。
在这个中,它声明:
注意:尽管到目前为止,PKCE被推荐为一种保护本地应用程序的机制,但这个建议适用于所有类型的OAuth客户端,包括web应用程序。
据我理解,PKCE旨在确保将令牌授予请求auth代码的同一实体,以防止攻击者使用被盗的auth代码执行不必要的请求。
现在,这对我来说很有意义,即使后端不
浏览 3提问于2022-03-16得票数 2
回答已采纳
3回答
显示截图为pdf下载链接
、、、
而不是显示一段文字作为pdf下载链接,我想显示一个迷你屏幕截图的pdf作为下载链接。
我该怎么做(从哪里开始)?我的linkedin个人资料截图的例子:
http://s.wordpress.com/mshots/v1/http%3A%2F%2Fwww.linkedin.com%2Fin%2Fedbras?w=115
然后,这可以作为前端链接的背景/图像包括在内。这是怎么做的?这是从一个网页,但想法是做同样的一个生成的pdf在后端。我正在通过Javascript进行后端调用,而且我有一个Java后端,我不使用wordpress。
浏览 12提问于2013-11-09得票数 0
回答已采纳
我有一个项目,包括以下几个方面:
用PHP (Ajax)制作的前端web应用程序带有一个本地数据库,用于前端web应用程序的最终用户描述和配置。
后端(运行在前端应用程序以外的其他域和机器中),由前端使用jQuery和JSONP技术调用。
我需要以一种安全的方式进行交流,但我不知道怎么做。我希望有人能帮我。我会非常感激的。
浏览 0提问于2011-09-29得票数 3
1回答
每次请求后会话重置
、、、
我正在构建一个带有角7的前端应用程序。
我已经在角项目中构建了一个纯php中间件。
当角需要向后端发送http请求时,将请求发送到php中间件,php将处理请求级别,然后将请求发送到后端。
问题是,我需要在所有请求级别上保存php会话中的值,但是在每个请求中,会话将被重置,并且从前一个会话中获得的任何值都将被删除。
php中间件是客户端而不是服务器的一部分,因此会话对于此客户端必须是唯一的。
问题是什么,我该怎么做
我没有添加任何代码,因为我在会话中读写通常没有什么特别的
浏览 1提问于2019-10-12得票数 2
回答已采纳
1回答
这是个开放式的问题,所以我道歉。我会尽我最大的努力让它具体化。
我在Express上构建了一个REST (实际上使用了Sails.js )。在前端,我有一个Angular2应用程序,它是由一个非常轻量级的快递应用提供的。前端对后端(API)进行HTTP调用。
任何人都不应该能够访问前端或后端而不通过CAS进行身份验证。我在前端使用CAS身份验证模块实现了cas身份验证--没有问题。但是,API仍然没有受到保护。
我在努力想办法保护后端。我已经实现了CORS保护,这将只允许来自白色域的请求。但是,这似乎还不够。
我假设我需要向后端发送一个身份验证令牌以及每个REST请求。我只是不知道怎么弄到那个
浏览 1提问于2017-06-02得票数 1
回答已采纳
9回答
我想在管理面板中启用模板路径提示。我知道怎么做的前端,但后端??我实际上想编辑管理面板。
提前谢谢..
浏览 0提问于2010-12-07得票数 22
回答已采纳
3回答
我将在我的Javascript前端+ Spring项目(一个用户管理管理web应用程序)中使用Spring安全性,我试图弄清楚,将这些前端html代码(特别是在与我的后端代码相同的服务器中的jsp文件中)放置是否有什么安全好处,这样我就可以利用某些jsp标记。或者,我可以把它完美地变成一个ajax应用程序,在另一个服务器中为前端服务。还能充分利用春天的安全吗?
浏览 8提问于2016-08-16得票数 3
回答已采纳
我在试图理解Oauth2.0中的各种赠款类型时遇到的一篇非常好的文章是这。作者在很好地解释了Oauth2.0流中的各种授予类型方面做得很好。我还跟踪了一些更多的文章,如这和这。他们中的每一个人都很好地解释了不同赠款类型所涉及的资金流动情况。
然而,有一件事让我感到困惑&因此我发表了这篇文章。我很想知道我在这里错过了什么。
在授权代码授权流中,在授权代码与客户端(最终用户在浏览器中访问的web应用程序页或最终用户正在访问的移动应用程序)共享后,此web应用程序的前端网页将授权代码发送到其后端。然后,web应用程序的后端(服务器端代码)交换此信息(以及其他信息,如客户端机密等)。使用授权服
浏览 0提问于2021-03-07得票数 1
1回答
这与keycloak客户端相关。我的前端连接到公共客户端,后端连接到机密客户端。我可以登录,获得代码,因为我正在使用response_type=code打开“标准流程启用”。这段代码重定向并返回Idtoken、refreshtoken和token。现在我需要与后端进行通信,这是保密的,我想使用我从前端客户端收到的一些值来验证用户。 我该怎么做呢? 这是我的前端和后端conf 前端 {
"realm": "xyz",
"auth-server-url": "http://localhost:8333/auth/",
浏览 60提问于2020-09-14得票数 3
回答已采纳
为了简化,假设您有一个具有前端登录表单的REST,并且希望检查用户是否存在。前端HTTP/POST一些数据到后端和后端查询数据库。结果是用户不存在,您希望将结果返回到前端。
我知道返回结果的方法可能很多,但是是否有任何“标准”或“更正确的方式”返回“用户不存在”的结果作为JSON?我在想一些可能性:
doesNotExist=false?Return 以字符串的形式返回JSON,结果是返回空对象?返回空用户对象的布尔值 404未找到或其他一些http代码响应?A混合在4到1之间?<代码>G 211</ code >
解决方案:
使用HTTP404代码进行响应就足够了,不
浏览 2提问于2021-03-09得票数 0
回答已采纳
我已经为Laravel安装了背包,并将其作为一个项目的管理后端使用了一段时间。我还使用 (可能附带背包,不记得)为前端创建用户。
目前,无论属于哪个组,所有用户都可以访问前端和后端。我想改变这一点,这样只有"admin“组中的成员才能访问后端。我遵循来分离前端和后端会话,但这并不是我真正想要的,因为所有用户仍然能够访问项目的两个站点。
我猜我需要在CRUD航线上增加一个守卫,但我发现这比应该要困难得多。任何关于如何做到这一点的建议都将不胜感激。蒂娅。
浏览 1提问于2018-05-12得票数 1
回答已采纳
2回答
我正在构建一个带有单独Javascript前端和Django后端的网站。我的后端使用CSRF保护。
现在的问题是,客户端将CSRF令牌设置为后端域上的cookie,例如api.example.com,并且无法从前端的frontend.example.com或somethingelse.com访问此cookie。cookie的HTTPOnly设置为false,因此脚本可以访问它。
在这种情况下,在前端和API位于不同的域时,我如何访问cookie或以其他方式处理CSRF保护?
📷
浏览 0提问于2022-06-03得票数 2
回答已采纳
1回答
我对PDF下载的要求是:
当用户单击“下载”链接时,前端将向后端发布JSON数据。
后端将处理JSON,从它的参数生成一个PDF文件。
作为响应,我(后端)需要发送一个下载链接和唯一的文档id.
前端将打开新窗口中的链接(GET),点击后端并开始下载。
我该怎么做?
提前谢谢。
浏览 1提问于2015-06-30得票数 0
我已经与此斗争了一段时间,并认为我会张贴在这里,以获得投入。
我是个全职工程师。我在前端和后端应用程序上工作,有时我必须创建新的微服务,有时我需要为现有的微服务创建新的前端客户端。
这些微型服务的前端生活在不同的客户:有时多个内部网站和外部网站。例如,假设我有一个内部公司网站,名为website site.com。这个站点有自己的前端和后端(我使用Java,所以它将是一个Spring应用程序)。我的服务(它是Docker化的,通常是Spring和Vert.x的混合体)可能生活在不同域上的Docker群或Kubernetes集群上。我通常倾向于在内部-site.com的代码库中构建我的前端,因为
浏览 0提问于2021-11-30得票数 0
我想为Ubuntu上的高负载制作web服务器。我使用nginx作为前端,apache用于后端。
正如您可能猜到的,我无法收集Apache (worker) + mod_php + APC,因为在Ubuntu下使用apt-get安装是不可能的。
我该怎么做?
如果你想从来源收集,请给出确切的指示。
请不要提供使用快餐店
浏览 0提问于2011-12-20得票数 0
它看起来就像代码流中通过客户端后端的额外循环,只是增加了模糊,而不是安全性。最后,如果客户端后端通过隐式流将相同的访问令牌发送到前端,那么额外的后端信道通信会减轻什么特定的攻击?
在阅读了该主题之后,听起来只有当客户端前端从未看到访问令牌时,才能实现代码流的优势。这是真的吗?
浏览 0提问于2019-07-23得票数 1
我使用Spotify授权代码流作为节点后端,授权用户访问使用spotify API的前端web应用程序。因为我的前端和后端是分开的,所以后端有一个‘/回调’端点,在用户身份验证后到达。‘/回调’然后以access_token和refresh_token作为查询参数重定向到我的前端应用程序URL。在URL中公开access_token和refresh_token是出于安全考虑吗?如果是的话,我还有其他选择吗?
我的前端应用程序URL看起来如下所示:
localhost:8000/play?access_token=<some_access_token>&refresh_tok
浏览 3提问于2021-12-24得票数 1
1回答
RestAPI:我有一个使用AzureAd身份验证运行Asp的RestAPI。
WebApp:我有一个单独的WebApplication运行Asp作为后端,带有Javascript前端。
WebApp后端通过AzureAd进行身份验证,然后对RestAPI进行身份验证以检查用户是否已注册。
我希望javascript客户机能够直接使用Rest。我应该怎么做才能不暴露这些资料呢?
我可以继续将请求从Javascript发送到WebApp后端-> Rest。但我真的想避免这种情况,因为没有必要的代码。
浏览 1提问于2019-06-20得票数 0
回答已采纳
4回答
试着理解后端和前端
、、、
我同时学习用python和Java编写代码,但是有人能为您开发playstore应用程序提供明确的指导吗?
就像python是Instagram的后端,但是前端,我指的是设计,颜色,
对于web应用程序是html/css/bootstrap和Javascript。
我只是有点困惑,研究后,关于移动应用,也有其他大型应用程序使用python作为后端,但前端呢?基维人说它不好,设计也不是最好的,然后烧瓶和姜戈.
有人能向我和其他人解释并节省时间吗?
像后端是python而前端是吗?对于移动应用程序和坏的和好的
谢谢
有多年经验的程序员应该能理解我的困惑,
浏览 9提问于2022-06-28得票数 -1
这就是我想要遵循的架构。
来源:
我使用后端与授权代码交换令牌,然后通过set-cookie头将令牌发送回前端。
这种情况是否需要PKCE?我认为这里没有必要,因为客户端的秘密在Django服务器中是安全的,我只是想确认一下,因为我是这个领域的新手。
另外,我将在前端加密状态参数,并可能使用非对称密钥在后端解密它。
在所有这些方法中是否存在安全漏洞?
编辑:
如果需要PKCE,我们如何在客户端和服务器之间共享代码验证器?
浏览 5提问于2022-11-25得票数 2
我是node.js的新手,在EC2 ubuntu上运行web应用程序,现在,我的团队已经完成了vue.js前端项目,我有完整的node.js express + MYSQL后端,通过从git 后端分支中提取来测试服务器端API (node.js + MYSQL)的连接和设置。前端已经通过监听公共IP地址在本地进行了测试。在EC2上托管服务器端时,现在是时候将前端项目(位于前端分支中)上传到EC2上,以托管前端项目。现在我有两个问题:
我们是否应该将后端和前端分支合并到main?然后克隆main?我已经克隆了我们的项目,但是在后端分支上。这会有冲突吗?
如果在EC2 ubuntu
浏览 2提问于2022-02-17得票数 0
回答已采纳
问题
非常简短:我想创建Spring,但是作为一个web应用程序。
我希望创建一个web应用程序(最好使用Spring ),其中前端(ReactJS)看起来像终端(或shell),后端处理输入的命令。看看。我想建立一个完整的网络应用程序,为类似的东西。
我想要构建一个框架,这样我就可以开发后端命令,而无需了解前端/web应用程序结构。我基本上想要实例化一个“终端”对象,在这里我给出了某种输入流和输出流。通过这种方式,我可以根据给定的接口和结构编写这个终端,而不需要设置所有前端的东西。
这个问题的一个很好的总结是:如何将所有键盘输入发送到后端,以及如何将所有输出发送到前端?
我想要创建一个web
浏览 0提问于2019-07-21得票数 0
假设在线编码平台允许用户输入代码并在网页表单中提交代码。它还通过将代码存储在数据库中来显示以前输入的代码。如何确保恶意代码不会同时在前端和后端执行?什么是安全需要考虑的问题。
我知道如何保护和实施-
会话劫持
XSS攻击
CSRF
SQL注入
输入用户密码
处于攻击中间的人
我的问题是找出还需要做什么,阻止用户提供的代码在我的后端执行。我能读到的任何有趣的话题。
对代码文本进行加密/编码并以加密格式存储它们会有帮助吗?还是建议将代码文本存储在服务器上的非可执行文件中,为每个用户动态创建它们?
浏览 2提问于2019-11-23得票数 3
回答已采纳
我正试着用Facebook登录。
我想要的是创建和终结点并使用它,就像我使用“标准”电子邮件登录端点一样,因为我需要后端和前端之间的很大的分离。我认为这应该很容易,但我不知道怎么做。
我读取了,当我在浏览器中使用该Url时,它正常工作,并在响应Url中获得令牌。但是,它总是发生在正面。
我尝试了许多教程,就是一个例子,它很有效,但我是后端,我不允许有这样的东西,因为前端也是用Django写的。
所以,当您只是后端时,我不知道应该如何处理工作流,我不知道前端开发人员在等待什么,因为身份验证实际上是在前端进行的。
我有点迷路了。
也许有人和后端有同样的问题,可以帮助我,至少告诉我,工作流程后端-前
浏览 4提问于2017-02-27得票数 0
回答已采纳
我有一个控制器操作,例如create(),它在完成一些后端工作后返回emptyresult()。我通过ajax调用我的create()操作。现在,如果后端工作成功,我想在jquery中做一些ajax成功方面的工作。我该怎么做呢? public ActionResult Create(string id)
{
//does something
return new EmptyResult();
} 现在,我想在我的ajax成功部分做一些事情 $.ajax({
type: "POST",
url: "@Url
浏览 11提问于2019-01-18得票数 0
回答已采纳
我目前在云计算上部署,现在我有一个前端服务器和一个后端服务器。
两者都部署为使用Cloud Foundry nodejs构建包的微服务。
我想从外部世界隐藏后端服务器,只有我的前端服务器可以访问它。我该怎么做?如果我删除到后端服务器的路由,该服务器将对外部隐藏,但是我不知道如何从我的前端访问它。
我是Cloud Foundry的新手,也许有一种简单的方法。
谢谢
安德烈亚斯
感谢你到目前为止提供的信息。
然而,我不明白为什么我现在可以隐藏我的后端实例,使其不被外部访问,但允许访问前端?
基本上,我需要在我的空间中设置什么规则,以便只允许访问我的前端实例的端口80 (假设前端ip是168.192
浏览 4提问于2015-11-26得票数 1
3回答
我们正在制作一个web应用程序,其中我们已经将前端和后端拆分成独立的项目。使用归档存储设置安全后,我们无法从前端访问后端,获取401 Unauthorized。前端在localhost:3000上运行,后端在localhost:8080上运行。
我们希望允许端口3000访问端口8080,但我们不知道如何访问,有什么线索吗?
浏览 11提问于2018-02-14得票数 0
我创建了一个GAE项目,并部署了两个服务:
前端应用程序的默认()
后端()用于后端(Node.js)
我还添加了一个自定义域,这样也可以在上访问默认服务。
我遇到的问题是,浏览器执行的每个AJAX请求之前都有一个选项请求(用于处理CORS)。
避免此选项请求的最佳解决方案是什么?如果前端/后端都在同一台主机上,那么它应该是固定的,但是我如何在上这样做呢?
谢谢!
浏览 6提问于2019-10-15得票数 1
1回答
我正在设计一个帐户系统,它将使用盐析/散列来安全地存储和比较密码。现在,我正在考虑使用bcrypt进行密码哈希。在这个过程中的某个地方,我需要一种方法来确保用户可以在他们的帐户中存储秘密。这些秘密需要使用从用户登录信息中派生出来的密钥进行加密,并以同样的方式解密。我想这样做,即使有人能够访问整个数据库内容和源代码的前端和后端,他们不能访问这些秘密中的数据。我该怎么做?
如果有帮助的话,这个web应用程序是用Python/Flask后端开发的。
编辑:这些秘密不是核密码之类的。它们是解锁私人信息和非公开聊天室的钥匙。我不信任客户。我从不相信网页浏览器..。
浏览 0提问于2022-02-08得票数 0
1回答
我正在努力弄清楚如何保护我的两个节点类型集群。我已经阅读了所有的MS文档,但大多数是关于一个节点类型的集群。
我有两个节点型集群,后端和前端。我的前端有一个在端口443上运行的web。
当我使用门户创建集群时,我得到了一个ARM模板,其中包含了几乎两组相同的规则/项,一个用于后端,另一个用于前端。例如,两个负载平衡器的规则是相同的,RDP和所有东西。
因为我的后端节点只会通过安全RPC从我的前端被调用,并且没有任何面向公共的端点,我甚至需要后端负载平衡器吗?可以删除/删除/关闭哪些内容来提高集群的安全性?
如果没有特殊的规则,创建了一个普通的门户,两个节点类型的集群“安全”到足以用于生产吗?
浏览 0提问于2017-03-16得票数 0
回答已采纳
我有一个前/后应用程序,需要登录才能使用。当我登录时(通过前端应用程序向后端发送请求),我所做的不是发送cookie,而是发送带有令牌的JSON。后者将由前端应用程序存储在sessionstorage中,每次与后端交互时,它都会发送一个请求和存储在sessionstorage中的令牌。后端将验证令牌的有效性。
你认为这个解决方案安全吗?你看到我没有考虑/忽略的其他漏洞了吗?
浏览 0提问于2016-03-31得票数 15
回答已采纳
我在用
var user = Session.getActiveUser().getEmail();
在表单提交之前的前端脚本中,但这会引发一个错误:
会话未定义。
webapp将以脚本所有者的身份运行,而不是以用户身份运行,因此我不能在后端脚本中使用代码。是否有一个前端呼叫将得到用户名,或我必须让他们告诉我?这个应用程序是一个来自领域内,所以它应该有一定的信任。
浏览 2提问于2020-05-01得票数 0
回答已采纳
我正在开发一个具有角6前端和.net核心2.0后端的应用程序,并试图设置它,以便我的应用程序通过Azure活动目录对用户进行身份验证。问题是,当前端传递电子邮件和密码时,我希望.net核心后端以编程方式进行所有身份验证。到目前为止,我在网上看到的一切都表明前端重定向到Microsoft登录页面,但是我们正在使用我们的应用程序作为一个锅炉板项目,并且希望能够轻松地改变后端的身份验证类型,而不必改变前端的角度。有人知道我该怎么做吗?
浏览 0提问于2019-07-09得票数 1
回答已采纳
我正在开发一个带有React (前端)和Nodejs (后端)的web应用程序,我需要使用数字证书进行身份验证。
提供给服务器的选项是:
key: fs.readFileSync('./certs/localhost_key.pem'),
cert: fs.readFileSync('./certs/localhost_cert.pem'),
requestCert: true , rejectUnauthorized: false,
ca: [
fs.readFileSync('./certs/ACCVCA120.c
浏览 6提问于2019-12-18得票数 1
回答已采纳
去做一个项目,在那里我将处理后端开发,有些人将处理前端开发。如何在git上设置项目,使前端开发人员看不到后端代码?
我想到了独立的分支:-
主(后端+前端)
后端
前端(前端开发人员将只能访问此分支)
但经过一段时间的研发后,我才意识到在Git是不可能的。
有什么可供选择的?
浏览 1提问于2014-10-11得票数 0
回答已采纳
我正在做一个学习项目。我使用本地和Google策略在nodejs中构建了一个身份验证系统。前端是一个反应应用程序。托管有两种选择
express.static('public') 在诸如netlify或github页面和后端节点应用程序等静态托管提供商上部署前端到heroku。在heroku上部署后端和前端,并在公用文件夹中使用前端代码并使用。
我对这两种方法都感到困惑,在网上找不到答案。如果你能解释这两种方法的优点和缺点,以及哪种方法适合在什么条件下使用,这将是很有帮助的。链接的文章也是赞赏的。提前谢谢你。
浏览 6提问于2020-04-26得票数 1
我正在编码一个网络应用程序(电子商务)为学习目的使用AngularJS + BootStrap和REST。我已经将Apache Wink用于REST WS,并且应用程序部署在JBoss EAP6.4上。我的应用程序运行得很好。
我可以使用AJAX访问后端数据,并正确填充网页。问题是REST曾经的安全性。如果我直接在浏览器上使用REST URL,而不经过前端,JSON数据就会被填充,我的数据就会暴露出来。我应该做哪些设计更改?
请注意,网站上的初始操作是无状态的,例如浏览产品、将产品添加到购物车等。这些操作不需要用户身份。我仍然需要为这些交互保护我的数据。请建议,我该怎么做呢?
Sunil
浏览 2提问于2015-06-24得票数 0
我一直在写我的网站,前端: html,JS,jquery和css,后端: php mysql.但是,我的php文件只包含php和mysql代码。这真的是件坏事吗?在什么情况下PHP文件应该包含html/javascript??目前,我的php文件就在那里接收请求和响应数组的信息。我只是不明白为什么人们会把前端的东西放在后端,这是为了安全吗?
浏览 0提问于2013-10-09得票数 2
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
