用Web加密API验证JavaScript中的Browserid断言
用Web加密API验证JavaScript中的Browserid断言
提问于 2012-10-10 11:07:03
Web Cryptography API中提出的在web浏览器中添加JavaScript运行时环境,是否允许我们在浏览器中使用JavaScript安全地验证browserid assertions?
回答 1
Stack Overflow用户
回答已采纳
发布于 2012-10-10 11:26:33
你已经可以在客户端的Javascript中验证BrowserID断言了,但是问题是你不能信任客户端。
例如,用户可以通过代理服务器运行您的代码,代理服务器会更改Javascript以始终声明断言是有效的。除非您正在进行服务器端验证,否则您的服务器代码将容易受到声称一切正常的客户端的攻击,而实际上断言是假的。
任何浏览器API都不会改变这样一个事实,即就服务器而言,您不能依赖客户端做正确的事情。服务器需要自己进行验证。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/12811407
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号