如何使用app和secret进行安全的解析初始化
how to secure parse initialize with app and secret?
我正在用javascript设置解析框架。我注意到我需要打电话给
解析初始化("应用程序"、"机密")
既然这是在页面来源中,难道没有人会接受这个并对我的账户进行攻击吗?
有没有更安全的方法来存储这些信息?
根据分析安全指南,您的JavaScript密钥不是秘密:
当应用程序第一次连接到Parse时,它会用应用程序ID和客户端密钥(或REST密钥、.NET密钥或JavaScript密钥,具体取决于您使用的平台)来标识自己。这些都不是秘密,它们本身并不能确保应用程序的安全。这些密钥是作为应用程序的一部分提供的,任何人都可以从他们的设备中反编译你的应用程序或代理网络流量,以找到你的客户端密钥。JavaScript更容易利用此漏洞——只需在浏览器中"查看源代码",即可立即找到客户端密钥。
所以,是的,任何找到你钥匙的人都可以打电话。但你可以(也应该)限制这些人的行为
使用类级别权限可以限制可以对单个类执行的操作。
使用"对象级别权限"可以限制可以对选定对象执行的操作。
另请参阅角色和角色层次结构,以同时为一组多个用户设置权限。
例如,您可以将访问权限限制为仅特定用户。只有当其中一个用户登录时,才授予访问权限。任何其他"黑客"都可以尝试使用您的密钥,但Parse会拒绝您的请求。
相关文章:
- 使用javascript函数在页面初始化后加载jquery
- 未捕获错误:无法在初始化之前调用方法;
- 如何在剑道网格初始化后设置pageSizes
- React redux初始化功能,无论状态变化如何
- 为什么可以't Protractor在自动初始化的Angular网站上查找Angular
- 尝试初始化()Spine's控制器和故障
- Angular.js延迟控制器初始化
- 对插件初始化后动态加载的元素进行样式设置
- Angular JS控制器初始化错误
- 在XMLHttpRequest之后重新初始化jQuery
- ember-js组件初始化不同的函数
- Youtube JavaScript API不是't正在初始化
- 函数无法识别初始化的变量
- datepicker引导程序再次初始化
- jquery数据表在初始化时设置宽度
- 如何使用app和secret进行安全的解析初始化
- 从javascript中再次初始化c变量
- ng重复中的ng模型-初始化唯一作用域属性
- 正在Ajax调用上初始化主干视图
- 为了严格的内容安全策略,将内联javascript初始化逻辑从html中分离出来
