Как я могу сделать jQuery (javascript) данные формы ajax, отправленные менее человекообразными?

Question

Кто-то, использующий консоль firebug или chrome, может перехватить представленные данные формы и затем переключить некоторые из значений, например. Идентификатор отправителя. Мне было интересно, могу ли я сделать данные менее понятными для человека, чтобы злоумышленник не захотел справиться с этим.

я видел что-то вроде этого:

$.ajax({ 
    type: "POST", 
    url: 'http://www.example.com/widget_category.php', 
    data: "p=eyJUcmF6ZW5pUG9qYW0iOiIiLCJJREdydXBhIjoiMzA3IiwiSURQb2RHcnVwYSI6MzA3LCJQcm9kYXZhYyI6IiIsIk9rcnV6aSI6W10sIk9wc3RpbmUiOltdLCJDZW5hT2QiOi0xLCJDZW5hRG8iOi0xLCJTdGFuamFQcmVkbWV0YSI6W10sIk5hY2luaVBsYWNhbmphIjpbXSwiRmlsdGVyIjpbXX0=", 
    dataType:'html', 
    success: function(res){ 
     $('#limwidget').empty().append(res); 
    } 
    }); 

Edit: Я вижу этот вопрос был принят плохо. Я просто хочу указать, что я проверяю все данные, полученные на стороне сервера, и об этом не должно быть и речи, но я просто хотел скрыть настоящие конфиденциальные данные из базы данных (и, возможно, сделать их также временной отметкой, подписанной каким-то образом и от пользователя к пользователю). Я понимаю, что, возможно, эту проблему следует рассматривать на стороне сервера (php), что все конфиденциальные данные должны быть заменены на стороне сервера, а не на стороне клиента, поэтому мы можем избежать безопасности безвестности.

Спасибо за разъяснение

Еще один править: теперь я вижу, что выход из функции atob из примера, приведенного

eyJUcmF6ZW5pUG9qYW0iOiIiLCJJREdydXBhIjoiMzA3IiwiSURQb2RHcnVwYSI6MzA3LCJQcm9kYXZhYyI6IiIsIk9rcnV6aSI6W10sIk9wc3RpbmUiOltdLCJDZW5hT2QiOi0xLCJDZW5hRG8iOi0xLCJTdGFuamFQcmVkbWV0YSI6W10sIk5hY2luaVBsYWNhbmphIjpbXSwiRmlsdGVyIjpbXX0= 

является

{"TrazeniPojam":"","IDGrupa":"307","IDPodGrupa":307,"Prodavac":"","Okruzi":[],"Opstine":[],"CenaOd":-1,"CenaDo":-1,"StanjaPredmeta":[],"NaciniPlacanja":[],"Filter":[]} 

так что я думаю, что это бесполезно начать скрывать данные на стороне клиента.

Answer 1

Вы можете кодировать данные на base64 с помощью atob() и btoa(), а затем декодировать их на сервере. Имейте в виду, что выполнение этого будет только запутывать ваш код и не сделает его на 100% безопасным.

Вот некоторая информация о кодировке Base64 для JavaScript.

https://developer.mozilla.org/en-US/docs/Web/API/WindowBase64/Base64_encoding_and_decoding

Answer 2

Base64, содержание будет немного дольше, но широко поддерживается, то вы также команда инструменты линии, чтобы расшифровать его.

Answer 3

Они могут изменить что-либо на переднем конце даже при этом изменении. Все, отправленное клиенту, может быть прочитано, включая любой код шифрования, который вы используете. Это труднее, но вы запутываете запутывание для обеспечения безопасности.

Обфускация не решит проблему.

Вы должны сделать свой приоритет, чтобы получить код на стороне сервера для проверки и дезинфекции данных, поступающих с лицевой стороны.

http://en.wikipedia.org/wiki/Security_through_obscurity

Answer 4

Я думаю, что безопаснее всего предположить, что все данные от клиента зло и добавить код на сервере для проверки и авторизации в случае необходимости. Вы можете кодировать свои данные и затем декодировать их на сервере, но кодирование/шифрование JavaScript менее полезно, чем вы могли бы захотеть. Злоумышленник всегда может просто открыть консоль dev в браузере, проверить ваш код и запустить любой метод шифрования, который вы используете для своих новых вредоносных данных.

Answer 5

Вы должны забыть о наличии чувствительной логики на стороне клиента и ожидать, что она будет безопасной, и нет способа сделать это.

Даже если вы «выставили» результат, этот злой пользователь мог бы поставить точку останова перед вызовом и изменить значения по желанию.

Если вы обеспокоены тем, что кто-то может изменить SenderID, то, предположив, что это действительно для вашего сценария, вы можете проверить на стороне сервера, что SenderID отправлено, это то же самое, что и инициированный запрос.