别人(暂叫 b 吧)在他的服务器上运行我给的后端客户端,客户端与我的服务器要数据,同时提供 web 页面给用户。
条件: 不允许用户直接访问我的服务器 用户登录 b 网站,用户数据通过浏览器 webcrypto api 本地公钥加密后 通过 b 服务器 然后存在我的服务器上(私钥存本地),b 也可以缓存。 会有多个 b 服务器,用户在任意一个 b 上都应该得到一样的服务和数据。
问题是:正常情况下这个 web 页面是安全的,不会存用户信息。但是如果这 b 动了歪心思就可以注入脚本,收集点信息轻而易举。
想过网页中用 SRI 验证完整性,但是用户登录 b 网站第一个页面就是 b 提供的,所以阻止不了这 b 。
DNSSEC 好像只能确保 DNS 内容不被篡改,网页 hash 它不管。
或者有没有什么免费的第三方网页 hash 验证服务?
各位老哥给点思路吧?是不是只能混淆加固客户端了? 谢谢
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.