问前端应用程序的安全性

EN

尝试并保护一些前端代码不受未经身份验证的用户的影响是非常合理的想法，而延迟加载实际上可能会对此有所帮助。

几点想法：

• 只有允许某些(经过身份验证的)用户下载某些前端文件，才能提高安全性，因为这样的代码无法对潜在的外部攻击者进行分析。因此，没有凭据的人将很难在应用程序的这些部分找到类似XSS的东西，这是一个实际的安全好处。
• 类似的东西可以通过混淆来实现，但是很明显，这绝不会像把代码分发给未经身份验证的用户那样好。
• 这样做通常会使开发(流程)变得更加复杂，而复杂性通常不是安全的好朋友。
• 很多攻击者都不是外部的。在客户端代码中拥有敏感信息不是一个好主意，业务逻辑本身也非常敏感。应用程序的任何有效用户都可能成为“攻击者”，如果它在客户机上，那么他们就需要有这段代码。
• 因此，最佳实践是将这样的业务逻辑放在服务器上。
• 但最终，这取决于你想要承担的风险。需要考虑的因素包括将所有信息都放在服务器上的价格(资源数量)、如果信息丢失给对手的潜在损失、发生这种情况的可能性(即。是否有5个可信用户，或150000个未知用户)，以及您的风险偏好。

前端代码和后端代码的区别在于，前端运行在访问网站的人的计算机上，而后端运行在服务器上(通常是几百英里外)。如果是前端代码，这意味着它在用户的计算机上，这意味着他们可以访问它。你可以偷偷摸摸，这样才能让一个知识渊博的“黑客”真正看到任何重要的东西，但不可能隐藏前端代码。他们的计算机需要它，因此用户可以访问它。