来自第三方黑客的基于javascript浏览器的游戏有多安全
How secure are javascript browser-based games from third party hackers
如果我在我的网站上放置了一个javascript游戏,并且游戏的一部分要求提供用户地址(例如,为了引用本地地标),是否有可能有第三方劫持我的游戏来发送用户地址?
我知道javascript不是很安全,但我也认为没有人能够在不入侵我的网站的情况下劫持我的javascript代码,所以在这方面是安全的。
我是不是太天真了?
只是问,因为我有一个游戏的想法,我正在努力思考。
如果你认为你的用户地址真的是一个秘密,那么是的,你可能还有一些工作要做:
XSS攻击
您需要非常小心如何显示用户输入。例如,如果我说我的名字是<script>alert('hello world')</script>
,你真的会在网站上打印出来吗?如果是这样,可以将自己的JavaScript插入到您的应用程序中。下面是一个XSS攻击的例子,维基百科提供了更多信息。如果攻击者可以插入自定义JS,他们就可以拦截地址、密码或cookie等秘密用户输入。
HTTPS
当您的web服务器将其消息发送回用户时,消息不会直接发送到用户的计算机。它首先在接力赛中通过中级计算机。如果攻击者在中继竞赛中控制了其中一台计算机,他们可以修改服务器的消息并插入自己的JS。攻击者再次获胜。为了避免这种情况,您需要HTTPS,这是一种对消息进行加密的协议。你还需要一种叫做证书的东西;StartSSL的销售价格合理。
请注意,攻击者不必是坐在几英里外的某个公司或政府来控制中间计算机。例如,它可能是有人在你学校校园的未加密Wi-Fi网络上运行Firebug。
但实际上
构建web应用程序的更好方法是,一开始就不要将用户地址发送回服务器。信息安全的首要规则之一是很难做到正确;你越能依赖别人的工作就越好。相反,可以在JS代码中保留一个固定的地标列表。或者使用由谷歌地图等服务提供的公共API,该服务已经通过HTTPS运行。
- 如何使用phaser使html5游戏在移动设备浏览器上运行
- 多人游戏完全在浏览器中运行,服务器仅用于数据库
- 阻止用户在浏览器控制台中更改游戏值
- Javascript游戏与循环崩溃浏览器
- 构建一个移动友好的浏览器游戏 - Pure JS,Jquery,Flash,Unity或WebGL
- 有可能在浏览器中使用纯HTML制作游戏吗
- 来自第三方黑客的基于javascript浏览器的游戏有多安全
- 游戏循环使我的浏览器崩溃
- 独立的javascript应用程序,html5画布游戏..理想情况下使用V8或基于浏览器调整游戏
- 在网络象棋游戏中,经常使用哪种服务器推送技术来刷新双人浏览器上的棋盘
- 浏览器游戏的编程语言是什么
- 实时浏览器游戏战斗系统
- 拥有一个简单的浏览器内JS游戏,需要它与后端'Ruby脚本一起工作
- HTML5 canvas游戏不会在浏览器未处于焦点时暂停渲染
- JS游戏编程-使用键盘事件蓝牙键盘/iCade与iPad浏览器
- 拼图游戏不能在firefox浏览器中工作
- 硬编码图像大小vs浏览器游戏框架的动态图像大小
- 在制作多人游戏时,我是否依赖于浏览器不提供变量给玩家?
- 游戏在浏览器.处理事件的位置:在前端或后端
- 使用PHP和Jquery的扑克游戏-浏览器-后退按钮行为