Angularjs和burp套房

Question

我的一个客户说他可以使用burp套件看到html和javascript。我们在客户端使用angularjs，在服务器端使用webapi。

他说，他不应该在html页面中看到敏感数据。我想知道解决这个问题的办法是什么。

Answer 1

首先，JavaScript和HTML是那些应该发送给用户的数据。因此，如果您有任何不应该向用户公开的敏感数据，只需将其不包含在和HTML.中即可。

作为一种最佳实践，为了保护客户端业务逻辑(并提高页面加载性能)，通常推荐的方法是丑化和缩小您的JavaScript文件。在这种情况下，它们变成了人类不可读的东西。

但是请记住，丑陋并不会加密你的数据。例如，如果要在页面上显示银行帐户余额，可以将JavaScript变量bankAccountBalance=100重命名为b=100 (人类无法读取)，但其值始终是银行帐户中的真实数字，即100。

HTML也可以缩小 (它应该是)。但它只是帮助删除断线，额外的空间，等等，这不是保护你的数据。