Posso archiviare in modo sicuro i miei script di amministrazione in un file di script disponibile pubblicamente?

Naviga le tue risposte
0

In un progetto su cui sto lavorando ho mescolato tutti i javascript in all.js . Ho un file separato, admin.js che contiene script usati nella sezione admin del progetto. Questo file è incluso solo durante la navigazione nella sezione di amministrazione.

C'è qualche rischio per la sicurezza nell'avere admin.js insieme a tutte le altre risorse? Significa che è disponibile pubblicamente, se sai dove trovarlo.

Non contiene alcun nome utente o password. E rende solo le chiamate agli URL protetti dal middleware di amministrazione.

    
posta Thomas Jensen 26.02.2016 - 23:43
fonte

2 risposte

1

Non ci sono rischi per la sicurezza associati a includere tutto in un singolo file. Questo è in genere ciò che gli ottimizzatori web fanno comunque.

Se è sicuro consentire l'accesso pubblico agli script di amministrazione, dipende da cosa c'è dentro. Hai menzionato che non memorizzi le credenziali, quindi non dovrebbe essere un rischio per la sicurezza. Tuttavia, potresti avere proprietà intellettuale che preferiresti non avere accesso ai tuoi concorrenti. In questo caso potresti potenzialmente proteggerli allo stesso modo del resto del contenuto solo dell'amministratore.

    
risposta data 27.02.2016 - 01:38
fonte
0

L'unica domanda è, perché?

Il raggruppamento degli script fornirà il codice JavaScript aggiuntivo in ogni download al sito, anche se solo gli amministratori utilizzeranno tale porzione. E, mentre ci possono essere problemi di sicurezza trascurabili dovuti al livello middleware, è il risparmio di spostarlo in un file abbastanza da giustificare il rischio?

Suppongo che la giustificazione ti apparterrà, ma sul suo volto li lascerei in file separati.

Inoltre, ho il secondo commento di user1751825 - sono file di JavaScript, non di script Java. :)

    
risposta data 27.02.2016 - 02:22
fonte

Leggi altre domande sui tag

Perché IOS su IPhone non può essere forzato brutemente a livello di codice? [duplicare] Il gmail inviato è stato modificato in un'altra versione, come tracciare il record accanto all'intestazione?