别人(暂叫 b 吧)在他的服务器上运行我给的后端客户端,客户端与我的服务器要数据,同时提供 web 页面给用户。
条件: 不允许用户直接访问我的服务器 用户登录 b 网站,用户数据通过浏览器 webcrypto api 本地公钥加密后 通过 b 服务器 然后存在我的服务器上(私钥存本地),b 也可以缓存。 会有多个 b 服务器,用户在任意一个 b 上都应该得到一样的服务和数据。
问题是:正常情况下这个 web 页面是安全的,不会存用户信息。但是如果这 b 动了歪心思就可以注入脚本,收集点信息轻而易举。
想过网页中用 SRI 验证完整性,但是用户登录 b 网站第一个页面就是 b 提供的,所以阻止不了这 b 。
DNSSEC 好像只能确保 DNS 内容不被篡改,网页 hash 它不管。
或者有没有什么免费的第三方网页 hash 验证服务?
各位老哥给点思路吧?是不是只能混淆加固客户端了? 谢谢
Select Language