快速的答案是肯定的。但這並不一定是您正在考慮的繁瑣工作。 (整個安全性可能很大,但這只是其中一部分)。您還有比這更嚴重的問題。
為什麼重要
您創建的任何內容都會受到嘗試破壞它的打擊。有人會很好奇。有人會做一些您從未想到的事情,而這違背了您的想法。有人會好奇,惡意或流鼻涕。
您還應該理會您的軟件/網絡應用 將通過自動化工具進行嚴格測試。擁有在線門戶(幾乎所有類型)的服務器在首次上線後的數十分鐘內就被黑客發現,並開始針對可能發生的任何安全漏洞或疏忽進行檢測。這意味著他們將探查“幕後”究竟在運行什麼,以及可被利用的任何可檢測到的失誤(在數據驗證,跨腳本驗證,SQL或二進制注入,JavaScript hacking,後端本身,什麼?強迫某些事情失敗,暴露哪些數據會導致弱點...)。
您的網絡服務器 將通過數百種(即使不是數千種)自動化工具,不斷地針對任何可能的Web代碼和後端失效進行探測。人類和用戶一樣,而不是人類。
您是希望這是遙不可及的,但會被評論家,媒體和憤怒的用戶強力引起您的注意,還是導致賠償責任?還是您想修復它?
如何解決它
從某種意義上說,這並不是一項艱鉅的工作。您創建一個安全框架,然後每個頁面導入或使用它。這樣做的概念並不難,並且有據可查。因此,頁面數量並不重要。
這項工作的困難之處在於安全性是困難。您真正的問題是,由於存在這些問題並且您正在問這些問題,所以您沒有足夠的希望去做,而無需幫助。說真的您。做。不是。
我不知道您擁有多少規模的團隊或資源。您需要它-在沒有外部幫助的情況下,您可能沒有希望。
我在這裡真正擔心的是
也就是說,我真正關心的不是網絡應用。
假設我正在考慮購買或使用您的應用。
這顯然無助於或使讀者放心,您顯然將安全性視為事後思考,對工作的干擾或事後的不便修復(或者至今為止對這種方式的理解不夠深),也許問題出在真正的基礎上,例如正確編碼按鈕URL 。
安全性是您的工作,因為無論產品/服務在技術上多麼出色,並且無論其用戶是誰,您的真實產品都是對您的信任和保證。您可以滿足我的需求,而不會給我造成重大災難。
我應該將我的數據信任您的應用程序嗎?現在,很抱歉,我想我也可以將其發佈在Google+上。是的,這是一種“糟糕”的情況和印象,而且這並沒有誇大其效。
對不起。
現在,如果您的應用程序有好處,請其他人參與。