Request Payload 를 숨기는 방법이 있나요?
먼저, 누구를 위한 포스팅인가?
해당 번역 포스팅은, 클라이언트 사이드에서 브라우저 개발자도구를 통하여 아이디/비밀번호를 전송하면서 발생하는 보안 정보 노출에 대해서 검색하다가 결과에 노출된 검색결과입니다.
참고로 이 포스팅은 생각보다 개발자에게 유용한 정보를 담고있지는 않았습니다.
정말 단순히 "크롬의 Network 탭을 닫는 방법", "Swagger 의 API 를 숨기는 방법" 등 방법적인것이 주를 이루어져있었기 때문에, 클라이언트 개발자들이 궁금해하고 필요해보이는, 명료한 내용만 번역하여 정리해보았습니다.
클라이언트사이드에서 암호화하여 데이터를 전송하는 방법은 추후에 다른 포스팅으로 다뤄보겠습니다.
목차
브라우저에서 network request payload 를 숨기는 방법?
브라우저에서 HTTP request 를 숨길 수 있는 방법은 없습니다.
access token 을 가지고있는 주체를 컨트롤하는 방법밖에는 없어요. 해당 토큰이 가지고있는 만기시간과 어떤 권한 등을 제어해야합니다. 브라우저의 활동을 숨길수 있는 방법은 없습니다.
브라우저의 Network 탭에서 XHR 요청을 숨기는 방법?
찾기 힘들게 만드는 방법은 있습니다. JSONP 요청을 사용하여 요청을 하는방법 입니다.
이 방법은 정말 AJAX 호출방법이 아니기 때문에, XMLHttpRequest 오브젝트를 사용하지 않습니다.
간단하게 script tag 를 DOM 에 삽입하는 방법이기 때문에, reqeust 는 여전히 network tab 에 노출은 됩니다.
API 에서 endpoint 를 숨기는 방법?
Javascript 에서 end user URL 을 숨기는 방법은 없습니다.
특별한 경우에, URL 을 user 단에서 숨기는 방법은 서버사이드 코드에서 여러분들의 API 를 proxy 를 사용하여 REST 를 호출하는 방법이 있습니다.
브라우저에서 response 를 숨기는 방법?
API response 를 숨길수는 없습니다.
request 를 숨길 수 없지만 필요하다면 데이터를 암호화할 수 있습니다.
(전체/제한되지 않은 접근이 가능한) 클라이언트 데이터를 전송하지마세요.
웹사이트에서 API 호출을 숨기는 방법?
크롬 개발자도구에서 서비스 호출을 숨길방법은 없습니다.
만약 보안호출가 필요한 경우에는 사용자를 인증하는 방법을 사용할 수 있습니다.
HTTP headers 에서 끼어들기(intercepted) 가 가능한가요?
headers 는 전체적으로 암호화됩니다.
network를 통해서 전달되는 하나의 정보는, SSL 설정과 D/H 키 교환뿐입니다. 이 교환은 다른 정보들을 악성유저(해커들)에게 노출되지 않도록 고안되어, 동작한다면 모든 데이터는 암호화됩니다.
ASP.NET 브라우저에서 url 을 숨기는 방법?
가능하다면 GET 으로 호출하는것 대신에, POST 를 사용하여 호출하는것이 바람직합니다.
여러분들의 url이 조금 더 깔끔해보이게 됩니다. (eg: servername:82/root/ReportViewer.aspx)
모든 정보들이 .Net 에서 보내지고 있기 때문에, 코드 뒤쪽에서 Server.Transfer 를 사용할 수 있습니다.
출처 : quick-adviser.com
'FRONTEND > WEB' 카테고리의 다른 글
| 210823_HTTP Message (0) | 2021.08.25 |
|---|---|
| 210603_Short Polling vs Long Polling (0) | 2021.06.03 |
| XSS 공격 및 CORS - 해결방법 (0) | 2021.05.10 |
| Cookie, Session, Token 의 차이점 (3) | 2021.05.09 |
댓글