Как запретить конечному пользователю видеть сетевые вызовы, сделанные через консоль браузера

Question

Мне нужно отправлять определенный параметр заголовка во всех вызовах ajax, что является очень конфиденциальной информацией.Я не хочу, чтобы конечный пользователь видел какие-либо запросы, сделанные на вкладке сети любого браузера.Есть ли способ предотвратить это?или можно совершать ajax-вызовы напрямую с сервера узлов, который не проходит через браузер?

Answer 1

Когда вы идете в ресторан и заказываете что-нибудь, может ли официант впоследствии заставить вас забыть вашу последнюю инструкцию / заказ?Ответ НЕТ, так же, как ответ на этот вопрос.

Все начинается с того, что клиент делает запрос серверу, следовательно, клиент является движущей силой всего взаимодействия.Сервер просто выполняет указания клиента (и злонамеренно выполняет дополнительную работу, например, аудит, обновление базы данных, добавление файлов cookie и т. Д.).

Следовательно, «сервер» не может ограничить клиентачтобы увидеть свои собственные инструкции.

Просто не отправляйте конфиденциальную информацию напрямую через заголовки.Зашифруйте их с помощью кода на стороне клиента и добавьте их в cookie-файлы или любые другие заголовки HTTP.

Цитирование из Интернета:

Клиент-серверная архитектура является производителем / потребителем вычисленийархитектура, в которой сервер выступает как производитель, а клиент как потребитель.Сервер содержит и предоставляет высокопроизводительные вычислительные услуги клиенту по требованию.Эти услуги могут включать в себя доступ к приложениям, хранение, совместное использование файлов, доступ к принтеру и / или прямой доступ к необработанным вычислительным мощностям сервера.

Архитектура клиент / сервер работает, когда клиентский компьютер отправляет запрос ресурса или процесса на серверчерез сетевое соединение, которое затем обрабатывается и доставляется клиенту.Серверный компьютер может управлять несколькими клиентами одновременно, тогда как один клиент может быть подключен к нескольким серверам одновременно, каждый из которых предоставляет свой набор услуг.В своей простейшей форме Интернет также основан на архитектуре клиент / сервер, где веб-серверы одновременно обслуживают множество пользователей данными веб-сайта.

Answer 2

Никогда не доверяй клиенту.Когда-либо.НикогдаНеважно, что вы думаете, он был взломан.Хакеры имеют все инструменты и полный контроль над клиентом и всем программным обеспечением, работающим на нем.Предположим, что они написали свой собственный сетевой стек, свою собственную реализацию TLS, свой собственный браузер, свою собственную операционную систему ...

Если вам нужно обеспечить его безопасность, храните его на своих серверах.Если вам нужно передать «привилегированную» информацию (если вы помните, что после того, как вы отправили ее клиенту, он может получить к ней доступ), не делайте токены на своем сервере и не отправляйте им токен.И если вы генерируете токены, убедитесь, что они очень случайные и совершенно непрозрачные - не шифруйте что-либо в токене, потому что вы должны предположить, что они тоже могут взломать его, независимо от того, насколько безопасна, по вашему мнению, библиотека, которую вы используете (предположите, чтов один прекрасный день будет взломан).

Answer 3

Любой звонок, сделанный на стороне клиента, не может быть скрыт, так как это «клиентская» сторона сайта.Даже если вам удастся скрыть это в браузере, любое программное обеспечение может отслеживать его с помощью таких инструментов, как сетевые анализаторы / отслеживающие устройства, например, WireShark.

Таким образом, ответ - нет