常用抓包思路:
如果使用公钥KEY + 参数排序 + decode 加密方式,因js代码可视,所以就好比你人在操场裸奔,被人看的精光,
(注:如果参数不重要可忽略,如列表数据等等),如果涉及到重要参数(如:支付模块的支付密码,登录的密码),
怎么办呢?
-
Token from-data 同步化 ,后台设置token有效期(2 秒),所有请求必须拿最新的token 和 数据进行加密,验签
-
根据header 请求头参数进行判断,前后端约定header key ,后端拿到之后该模块不使用前后端分离方法,切换另一项目模块目录,再进行如Laravel的CSRF Token 加密,可以解决如支付模块的数据安全问题。
网友评论