在 WebRTC 中公开 TURN 服务器凭据的安全问题
Security issue with exposing TURN server credentials in WebRTC
我们在测试环境中的一个应用程序中使用 google public stun 服务器。并且,我们还安装了Turn server。
问题是 - 当我们 运行 应用程序时,在 javascript 文件中,我们输入了用户名、密码和 turn 服务器的服务器地址以便建立连接。
但是,它在 javascript 调试器中显示凭据,这是一个安全问题。有没有人知道我们如何限制显示 javascript 文件中的凭据?
TURN 密码总是暴露给 Javascript。请参阅 https://datatracker.ietf.org/doc/html/draft-uberti-behave-turn-rest-00 了解最常用的解决方法。
我们在测试环境中的一个应用程序中使用 google public stun 服务器。并且,我们还安装了Turn server。
问题是 - 当我们 运行 应用程序时,在 javascript 文件中,我们输入了用户名、密码和 turn 服务器的服务器地址以便建立连接。
但是,它在 javascript 调试器中显示凭据,这是一个安全问题。有没有人知道我们如何限制显示 javascript 文件中的凭据?
TURN 密码总是暴露给 Javascript。请参阅 https://datatracker.ietf.org/doc/html/draft-uberti-behave-turn-rest-00 了解最常用的解决方法。