簡體 English 中英

安全jQuery Mobile + Phonegap

[英]Security jQuery Mobile + Phonegap

原文 2012-12-14 19:26:29 6 4 javascript/ html5/ security/ cordova/ jquery-mobile

我是智能手機和平板電腦開發Html 5的新手，目前正在開發一個項目Html 5，CSS，jQuery Mobile和PhoneGap。

應用程序通過XMLHttpRequest執行的SOAP Web服務與服務器進行通信。 如果我不得不求助於插件，數據加密等等，那么新手想知道我必須在應用程序中解決安全問題，我需要使用什么來保證安全性。

驗證用戶名和密碼不使用表單。 不要在頁面之間傳遞參數。 我沒有使用PHP。 我不知道它是否能夠繞過代碼的可見性，因為我正在為Android和iOS開發。

由於我沒有經驗臨時使用.js中的全局變量來保存訪問其他Web服務方法的用戶名和密碼。 請求有關此安全問題的幫助，因為我不知道從哪里開始，繼續和完成。

謝謝！

有關PhoneGap和安全性的詳細分類，請訪問： https ： //github.com/phonegap/phonegap/wiki/Platform-Security

簡而言之，如果您擔心“無線傳輸”數據傳輸，請使用帶有SSL的服務器，就像在Web應用程序中一樣。 如果您擔心設備加密，則會將其委派給操作系統的默認安全機制。

您的特定技術堆棧與任何其他Web應用程序沒有什么不同。 您仍然容易受到大量漏洞的攻擊。

從它的聲音來看，你只關心你應該考慮的客戶端漏洞。 如果是這種情況，您應該考慮許多事項。

如果您使用的是HTML5，請確保您使用的任何本地API都受到保護。 OWASP有一個很好的最佳實踐列表可以關注https://www.owasp.org/index.php/HTML5_Security_Cheat_Sheet，其中一些可能適用於您的特定應用程序。
您要為XSRF或CSS（跨站點腳本或XSS）實施的任何類型的防御都將是徒勞的。 唯一可以全面運行的防御類型是在應用程序的服務器端實現的防御（在本例中為PHP）。
此外，如果您希望通過SSL在傳輸過程中加密數據，則必須由服務器（SOAP Web服務端點）處理。 如果無法實現，那么更復雜的替代方案是使用WS-Security（ http://en.wikipedia.org/wiki/WS-Security ）