Ajax 次调用中的证书固定
Certificate pinning in Ajax calls
我相信我已经知道了这个问题的答案,但我想看看是否有人对这个问题有更深入的了解。我已经在 Android 和 iOS 应用程序中完成了证书固定,使它们更安全地抵御中间人攻击。我很好奇,同样的事情可以在执行 Ajax 调用的网站上完成吗?我认为不会,因为 Javascript 代码可以在传输过程中被修改,有没有人有这方面的经验?
您可能对此感兴趣:http://caniuse.com/#search=HPKP。现代浏览器已经支持 public 键固定。
还有一篇关于防止中间人攻击的好文章(或者它们使攻击变得更难 - 因为看起来 "preventing" 在安全上下文中具有相对意义):http://blog.scottlogic.com/2016/02/01/man-in-the-middle.html
如果您喜欢冒险,您可以在 JavaScript 中使用 TLS 的本机实现来真正深入:https://github.com/digitalbazaar/forge/blob/master/README.md
我相信我已经知道了这个问题的答案,但我想看看是否有人对这个问题有更深入的了解。我已经在 Android 和 iOS 应用程序中完成了证书固定,使它们更安全地抵御中间人攻击。我很好奇,同样的事情可以在执行 Ajax 调用的网站上完成吗?我认为不会,因为 Javascript 代码可以在传输过程中被修改,有没有人有这方面的经验?
您可能对此感兴趣:http://caniuse.com/#search=HPKP。现代浏览器已经支持 public 键固定。
还有一篇关于防止中间人攻击的好文章(或者它们使攻击变得更难 - 因为看起来 "preventing" 在安全上下文中具有相对意义):http://blog.scottlogic.com/2016/02/01/man-in-the-middle.html
如果您喜欢冒险,您可以在 JavaScript 中使用 TLS 的本机实现来真正深入:https://github.com/digitalbazaar/forge/blob/master/README.md