JavaScript、node.js 和安全性

Question

我的网站上有一个用户注册表单，它只是使用 socket.io 以纯文本形式将数据（用户名、密码和电子邮件）发送到服务器。我知道这是一个非常糟糕的解决方案，那么我用什么来隐藏信息呢？您能否解释一下人们如何获得这些信息，以便我知道要避免什么？我听说过 jsAES，它可以加密这些内容，但是客户端和服务器如何知道钥匙？

Answer 1

您可以做的是在 JavaScript 中使用非对称加密：包含 JavaScript 加密代码（例如， RSA，不是对称 AES）和代码中的公钥。提交后，加密所有输入并将其发送到服务器，并在服务器上使用私钥进行解密。然而，熟练的攻击者可以简单地更改 JavaScript 或注入自己的 JavaScript 来规避这种客户端加密。此外，它还需要 JavaScript，有安全意识的访问者可能会禁用 JavaScript。

使用 HTTPS，而不是推出您自己的解决方案。生成密钥对，获取其证书，然后配置您的服务器以服务 HTTPS 请求。使用 HTTP 严格传输安全 强制所有连接使用 HTTPS。