我们的团队在过去的几个月里一直在做一个网站,但我们在网络开发方面是个新手。
我们已经用vanilla JavaScript对我们的前端进行了编程,我们的代码处理了一些常见的任务,比如发送http请求,向表单传递参数等。
由于我们要处理不同的端点和路由,而且经常要在两个不同的域之间切换,所以我们决定把所有被我们的JavaScript代码使用的路由(在HTML中没有使用)作为变量放在一个文件中,这样在我们工作的时候可以更容易地改变它们。举个例子。
const SERVER_ADDRESS = "http://localhost:5000/";
// End points
const CONTACT_GET_ROUTE = SERVER_ADDRESS + "contact/getById/";
const CONTACT_GET_LIST_ROUTE = SERVER_ADDRESS + "contact/list";
const CONTACT_POST_ROUTE = SERVER_ADDRESS + "contact/post";
const CONTACT_PUT_ROUTE = SERVER_ADDRESS + "contact/put";
这只是为了我们的舒适度,但我们已经到了开发过程的尾声,我们不确定是否应该保留这个文件,还是在混淆之前手动替换路由。我们主要担心的是安全问题,但我们也担心这样做会被认为是不好的做法。我们的做法正确吗?
我们主要关注的是安全问题,但我们也担心这可能被认为是不好的做法。
安全性中最重要的第一件事是了解你的攻击者以及他们如何攻击你......换句话说,你要想象一个你能想象到的最聪明、最恶意的孩子(想想电视剧《南方公园》中的Eric Cartman),然后思考 "这个孩子能在我的网站上做什么"。
如果你尝试这个练习,我想你会发现的是......只要知道你的客户的路线,那个恶意的孩子就不可能做什么。 事实上,即使你 不要 将这些路由放入变量中,如果攻击者使用浏览器开发工具,他们可以 还 在网络选项卡中可以看到你的路由。
所以总之,这不是一个安全问题。 但为了更深入地了解网络安全,我 强烈 荐读 OWASP十佳 攻击,因为它基本上是网络安全领域最聪明的人列出了你的网站可能被攻击的十大方式(但它也不是一座山的阅读:你只需要了解十种攻击就可以了)。 就是那个列表上的东西,你要 应 首先要担心的是。
P.S.把路由保留在变量中也不是一个不好的做法。 恰恰相反,保持你的代码干净和易懂永远是件好事!