即使在前端非對稱加密中,也要有一個公鑰或者私鑰暴露在客戶端,所以非對稱加密僅僅能夠起到在傳輸層中防止被人截取讀到內(nèi)容的作用(但別人可以采取同樣的數(shù)據(jù)請求格式進(jìn)行加密發(fā)送請求)這樣絲毫起不到防止別人刷請求接口的作用?前端非對稱加密的作用僅此而已嗎?請前輩們指教很疑惑 最好結(jié)合下前端的csrf攻擊
加密最主要作用就是防止中間被截取獲悉到明文內(nèi)容。
非對稱加密還有一點的作用就是,互相之間傳遞各自秘鑰加密的認(rèn)證內(nèi)容用來認(rèn)證,因為只有自己持的秘鑰能解密,就能確認(rèn)對方身份。
刷接口,你有正確的明文,有秘鑰,那你就能發(fā)出正確的加密后的信息。怎么防止刷,這是另一個問題了。
還有如果被他人截獲了你的加密內(nèi)容,雖然他不能破解,依舊可以重復(fù)發(fā)送你的加密內(nèi)容。這種問題也不是加密這塊要解決的。
csrf攻擊和加密沒有任何關(guān)系吧。我記得中文名稱是跨站請求偽造,顧名思義,從危險網(wǎng)站發(fā)出偽造的向有漏洞的網(wǎng)站的請求。
這個是利用瀏覽器一些自動發(fā)出的get請求可以跨域(比如標(biāo)簽的src屬性,其實就是瀏覽器自動向src指明的url發(fā)出一個get類型的http(s)請求);同時http(s)協(xié)議中又會默認(rèn)帶著請求的domin中的cookie的特性實現(xiàn)的攻擊。
漏洞原因是,用戶的認(rèn)證信息存在了cookie里,并且沒有判斷請求源頭是否可靠。
所以,舉個例子,如果A網(wǎng)站是危險網(wǎng)站,B網(wǎng)站是漏洞目標(biāo)網(wǎng)站,用戶a在B網(wǎng)站有賬戶。
用戶a訪問了A網(wǎng)站,A網(wǎng)站有個圖片的src是向B網(wǎng)站發(fā)請求,這時候,這個圖片鏈接發(fā)過去的請求就會帶著a在B網(wǎng)站的cookie了。如果cookie里有認(rèn)證用的token,那么,就可以在A網(wǎng)站偽造a的請求并且完成認(rèn)證了。
北大青鳥APTECH成立于1999年。依托北京大學(xué)優(yōu)質(zhì)雄厚的教育資源和背景,秉承“教育改變生活”的發(fā)展理念,致力于培養(yǎng)中國IT技能型緊缺人才,是大數(shù)據(jù)專業(yè)的國家
北大青鳥中博軟件學(xué)院創(chuàng)立于2003年,作為華東區(qū)著名互聯(lián)網(wǎng)學(xué)院和江蘇省首批服務(wù)外包人才培訓(xùn)基地,中博成功培育了近30000名軟件工程師走向高薪崗位,合作企業(yè)超4
中公教育集團(tuán)創(chuàng)建于1999年,經(jīng)過二十年潛心發(fā)展,已由一家北大畢業(yè)生自主創(chuàng)業(yè)的信息技術(shù)與教育服務(wù)機(jī)構(gòu),發(fā)展為教育服務(wù)業(yè)的綜合性企業(yè)集團(tuán),成為集合面授教學(xué)培訓(xùn)、網(wǎng)
達(dá)內(nèi)教育集團(tuán)成立于2002年,是一家由留學(xué)海歸創(chuàng)辦的高端職業(yè)教育培訓(xùn)機(jī)構(gòu),是中國一站式人才培養(yǎng)平臺、一站式人才輸送平臺。2014年4月3日在美國成功上市,融資1
曾工作于聯(lián)想擔(dān)任系統(tǒng)開發(fā)工程師,曾在博彥科技股份有限公司擔(dān)任項目經(jīng)理從事移動互聯(lián)網(wǎng)管理及研發(fā)工作,曾創(chuàng)辦藍(lán)懿科技有限責(zé)任公司從事總經(jīng)理職務(wù)負(fù)責(zé)iOS教學(xué)及管理工作。
浪潮集團(tuán)項目經(jīng)理。精通Java與.NET 技術(shù), 熟練的跨平臺面向?qū)ο箝_發(fā)經(jīng)驗,技術(shù)功底深厚。 授課風(fēng)格 授課風(fēng)格清新自然、條理清晰、主次分明、重點難點突出、引人入勝。
精通HTML5和CSS3;Javascript及主流js庫,具有快速界面開發(fā)的能力,對瀏覽器兼容性、前端性能優(yōu)化等有深入理解。精通網(wǎng)頁制作和網(wǎng)頁游戲開發(fā)。
具有10 年的Java 企業(yè)應(yīng)用開發(fā)經(jīng)驗。曾經(jīng)歷任德國Software AG 技術(shù)顧問,美國Dachieve 系統(tǒng)架構(gòu)師,美國AngelEngineers Inc. 系統(tǒng)架構(gòu)師。