Ich bin gespannt, ob und welche Sicherheitsbedenken andere Entwickler in Bezug auf die Verwendung von JQuery-Plugins haben. Ich habe sehr wenig über die Sicherheit von JQuery gesprochen. Ist es wirklich kein Problem?Haben Sie irgendwelche Sicherheitsbedenken, wenn es um JQuery-Plugins geht?
Schätzen Sie Ihre Gedanken!
Persönlich bin ich komfortabel genug mit Javascript, um durch den Plugin-Code zu blättern und mögliche Fehlverhalten zu verstehen.
Was ich suche ist die wichtigste Sicherheitsproblem mit Javascript, domänenübergreifende Kommunikation, die in der Regel mit der Schaffung von iframe s, script/img Tags etc ..
Die meisten der Zeit, obwohl getan wird, Ich vertraue der Gemeinschaft, zum Beispiel, wenn es auf http://plugins.jquery.com/ ist, ist es normalerweise eine vertrauenswürdige Quelle.
Die beliebtesten werden im gesamten Internet auf großen Websites verwendet. Wenn es ein Sicherheitsrisiko gibt, hat es wahrscheinlich schon jemand anderes bemerkt. Außerdem stammen viele der am häufigsten verwendeten jQuery-Plug-ins von denselben Entwicklern, die in der Community sehr aktiv sind. Daher ist es ziemlich sicher, ihnen zu vertrauen. (Jörn Zaefferer, der Kerl, der das Validierungs-Plug-in gemacht hat, kommt mir in den Sinn)
Zugegeben, es ist eine gute Idee, immer zu testen und immer skeptisch zu sein, aber irgendwann wird es ineffizient, sich zu viele Sorgen zu machen.
jQuery kann nichts, was JavaScript nicht selbst tun kann, also gelten die gleichen Sicherheitsstandards. Grundsätzlich - verlassen Sie sich nie auf Sicherheit. Überprüfen Sie immer alle Eingaben auf der Serverseite.
Der beste Weg, um daran zu denken ist, dass das Client-Side-JavaScript aus einer Sicherheitsperspektive nicht wirklich ein Teil Ihrer Anwendung ist. Ihre Anwendung besteht aus allen möglichen http-Anrufen zu Ihrem Server. Nehmen Sie für eine gute Sicherheit an, dass Hacker nicht einmal einen Browser verwenden - sie werden HTTP-Anfragen direkt an Ihren Server senden. Stellen Sie sicher, dass Sie keine Sicherheitslücken in Ihren http-Endpunkten aufweisen, und Sie sollten in Ordnung sein.
Hinweis: Ich habe in dieser Antwort die Vermutung geäußert, dass Sie über Daten- und Systemsicherheit sprechen. Die Sicherheit der Benutzer (um zu verhindern, dass Ihre Benutzer gephast werden, usw.) ist ein weiterer Kessel Fisch, aber ich bin mir nicht sicher, dass es mit jQuery genauso wie mit Javascript im Allgemeinen zu tun hat.
Ich glaube, die Sorge war mit bösartigen Code in einem jQuery-Plugin gepflanzt. Das ist etwas, das mit jeder Javascript-Bibliothek passieren kann, aber nicht etwas, das passieren könnte, wenn du Commando machst. –