本文介绍了一种无需修改后端接口的方案,通过前端对AJAX请求和响应数据进行加密,实现WebAPI接口的安全防护,防止中间人攻击和数据嗅探。该方法适用于所有Web页面调用的API接口,且前端代码可混淆加密,增强安全性。同时,建议使用动态密钥以防止前端加密函数被非法利用。
注:商业级功能效果演示,非开源,无源码。
研发基础
在之前AJAX请求数据加密效果之上,更进一步,对返回数据加密。
之前是单纯用于登录场景。更广泛的场景是所有此类AJAX WEB API接口。
两者结合,可以实现:
WebAPI接口,请求数据加密、返回数据加密。而且,不需要对原始接口改造,不需要被保护方技术人员配合修改程序,是直接完成的保护。对于常见API接口防护刚需,是很好的解决方案。
功效
双向加密传输,防止中间人攻击、防止数据嗅探。
应用场景
Web页面调用的API接口。
效果测试
WebAPI接口,上行请求,加密数据:
使用JShaman.com开放的接口:
WAF中接收并解密:
下行数据加密:
前端接收加密数据,并解密。原始功能正常,不影响API接口正常使用:
为提高安全性。
1、前端功能逻辑JS代码,可做混淆加密,以防破解。
2、前后双端可使用动态密钥,防止前端加密函数被非法调用。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
