V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
buginof
V2EX  ›  程序员

有什么方式可以保证别人用我的后端程序提供的 web 服务不被他恶意修改?

  •  
  •   buginof · 123 天前 · 382 次点击
    这是一个创建于 123 天前的主题,其中的信息可能已经有所发展或是发生改变。

    别人(暂叫 b 吧)在他的服务器上运行我给的后端客户端,客户端与我的服务器要数据,同时提供 web 页面给用户。

    条件: 不允许用户直接访问我的服务器 用户登录 b 网站,用户数据通过浏览器 webcrypto api 本地公钥加密后 通过 b 服务器 然后存在我的服务器上(私钥存本地),b 也可以缓存。 会有多个 b 服务器,用户在任意一个 b 上都应该得到一样的服务和数据。

    问题是:正常情况下这个 web 页面是安全的,不会存用户信息。但是如果这 b 动了歪心思就可以注入脚本,收集点信息轻而易举。

    想过网页中用 SRI 验证完整性,但是用户登录 b 网站第一个页面就是 b 提供的,所以阻止不了这 b 。

    DNSSEC 好像只能确保 DNS 内容不被篡改,网页 hash 它不管。

    或者有没有什么免费的第三方网页 hash 验证服务?

    各位老哥给点思路吧?是不是只能混淆加固客户端了? 谢谢

    2 条回复
    buginof
        1
    buginof  
    OP
       123 天前
    现在只有喊爹才有人回帖吗?风气让人发指!爹!
    buginof
        2
    buginof  
    OP
       121 天前
    我爹呢?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2711 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 03:02 · PVG 11:02 · LAX 20:02 · JFK 23:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.