我有写在angularjs的应用程序。 然而,这个问题适用于一般的JavaScript应用程序。
用户调用浏览器,然后提出他的登录页面中的index.html。 然而,在后台,所有的JavaScript文件被已经加载。 因此,用户在理论上可以读取的代码(即使混淆和精缩),并获得重要的信息(关键字,其余的通话网址等)。 即使我会做的js文件延迟加载,用户仍然可以查找JS的源路径,并从服务器拉出。 有没有办法阻止这样做用户?
编辑:或者是有至少一种方法来防止用户看到JS源之前已经成功地验证自己(没有预防的阅读REST API URL)? 我的应用程序中包含的数据(数据!= REST调用数据,但字符串在应用程序本身),当未经过身份验证,他应该不知道。
在我目前的apllication我使用PHP的剩余部分。 所以它很容易有index.php文件处理登录在古典的方式,如果登录我的用户会去实际的角度应用。
我所有的REST功能做了检查LOGGED_IN如果失败,将回到index.php文件。 也是我的谐音是用于登录,经营权与所有权鸡了,如果事情是错误的或者只是不包括关键零部件的脚本或东西,允许用户查看更换他们做检查,PHP模板。
因此,相关的一切安全性在服务器端处理,一切方便于客户端。
和是的,我可以用这一事实,一个黑客攻击或失败的登录重新加载最小的登录页面生活。
没有,没有办法。 即使用户没有访问JavaScript文件,他可以监视他的浏览器和服务器之间的通信,这样他就知道通信协议和所有REST调用。
