Блог

Главная - Вопросы по программированию - внедрение кода javascript из интерфейса

внедрение кода javascript из интерфейса

#javascript #jquery #minify

#javascript #jquery #минимизировать

Вопрос:

В настоящее время я работаю над приложением, в котором весь код javascript и css не уменьшен при производстве, но заархивирован с использованием gzip. Одна из проблем заключается в том, что конечные пользователи могут легко прочитать и украсть код, что не является большой проблемой в этом сценарии. Вторая вещь, которая меня беспокоит, это то, что это безопасно? Я имею в виду, может ли кто-нибудь из интерфейса прочитать код и изменить или ввести какой-либо код из интерфейса? Если да, то, пожалуйста, скажите мне, как это возможно? Мне нужен этот ответ, чтобы убедить моего босса в том, что нам нужно минимизировать код на производстве.

Комментарии:

1. И что вас здесь беспокоит? Почему возникает проблема, если люди изменяют CSS или Javascript на своем компьютере? Если вы думаете, что это проблема безопасности, у вас неправильное понимание безопасности.

Ответ №1:

Минимизация кода выполняется не для того, чтобы запутать код, а для уменьшения количества байтов, которые будут отправляться пользователям.

Ваш уменьшенный или простой JavaScript в конечном итоге попадает на компьютер пользователя, поэтому пользователь может изменить его в любом случае.

Не рассматривайте минимизацию как механизм безопасности.

Ответ №2:

обычно у вас не должно быть конфиденциальной информации в css и интерфейсном javascript, так что это не должно быть проблемой. уменьшенный код просто удаляет много символов, поэтому конечная «библиотека» javascript меньше. В свою очередь, он быстрее загружается, что приводит к повышению производительности приложений. Вы должны сказать своему боссу, что хотите сократить код, чтобы приложение работало быстрее и было более «переносимым» не потому, что это помогает безопасности. Безопасность — это еще одна проблема, которая, скорее всего, связана с вашей базой данных и обработкой формы интерфейса и т.д.

Ответ №3:

Сжатие Gzip не обеспечивает никакой защиты для пользователей, просматривающих исходный код, и позволяет сжимать выходные данные с вашего сервера перед отправкой клиенту. Вы можете прочитать больше о сжатии Gzip конкретно в руководстве Apache здесь.

JS и CSS также небезопасны в том смысле, что любой может прочитать и изменить их на своем локальном компьютере. Минимизация предназначена не для обеспечения безопасности вашего кода, а для уменьшения его размера.