为什么 EOSJS JsSignatureProvider 被认为是不安全的?

Why is EOSJS JsSignatureProvider considered insecure?

在 eosjs 文档 (https://developers.eos.io/manuals/eosjs/latest/faq/what-is-a-signature-provider) 中,据说 JsSignatureProvider 是不安全的。为什么它不安全? 我有点新,想在我的后端宠物项目中使用它。 我觉得如果我要编写自己的签名提供程序,我会重新发明 eosjs JsSignatureProvider。

JsSignatureProvider不安全的主要原因是构造函数直接使用私钥来执行签名(这可能会暴露于潜在的攻击向量,即恶意扩展等)。

更安全的方法可能是将签名请求路由到安全区域而不暴露私钥,在那里执行签名,然后取回签名。