这是我的javascript插件的最佳安全技术。

Question

我的插件有如下图所示的流：

​

​

其要求是使onclick事务在身份验证后发生。也就是说，只有当包含的域的所有者(例如，www.MyPluginJS.com/register)向我的站点注册时，他/她才能使用MyPlugin.js。

我的注册门户在成功地重新创建后，会发出一个Client ID。

我的问题是：

1. 为了使onclick事务安全，我需要使用的最佳方法是什么？
2. 我可能需要哪些其他参数(例如: MD5指纹)来确保事务安全进行？
3. 是否有任何我可以利用的现有框架(例如OAuth)？

我需要一种方法来阻止那些没有注册的人使用MyPlugin.js。

我对安全技术缺乏经验，但我可以设法编写代码。

(预先谢谢:)

Answer 1

您可以使用某种服务器端语言为JS文件提供服务，并向js文件pe: MyPlugin.js?key=someValue的请求中添加一个键/值对。您的脚本可以将该值与存储授权用户的DB表值进行比较。

米格尔

Answer 2

通过使用jQuery，您可以利用函数$.getScript(url)从服务器端加载javascript文件，避免使用<script>标记。

这样做的目的是将getScript函数指向服务器端脚本，该脚本将首先验证用户的会话，如果会话有效，它将返回要加载的javascript文件内容，或者返回一个无效的javascript文件。

Answer 3

我认为您应该使用在服务器端创建的session来确保用户登录。然后，如果设置了会话变量，则可以检查客户端(为用户方便起见)，然后验证会话服务器端(为了安全性)，以避免用户篡改客户端代码。

然后可以使用AJAX将插件页面的内容加载到iframe中。jQuery使AJAX更易于管理。

因此，我的简单答案是使用服务器端脚本和会话变量来确保安全性，并在客户端使用jQuery和AJAX，以方便用户使用。