血淋淋的事实告诉你：你为什么不应该在JS文件中保存敏感信息

数组肯定是不能忽略的一个因素，如果代码中使用了for循环来遍历数组值，我们就可以在数组构造器原型中定义一个自定义的枚举器，这样不仅可以允许我们访问数组中的内容，而且也不会影响原生函数的功能。

Array.prototype[Symbol.iterator]= function() {  
    let arr = this;  
    let index = 0;  
    console.log(arr)  
    return {  
        next: function() {  
            return {  
                value: arr[index++],  
                done: index > arr.length  
            }  
        }  
    }  
};  
//EXTERNAL SCRIPT START  
(function(){  
    let secretArray = ["this","contains", "an", "API", "key"];  
    for (let element of secretArray) {  
        doSomething(element);  
    }  
})()  
//EXTERNAL SCRIPT END 

四、后话

除了本文所介绍的方法之外，攻击者还有很多从JavaScript文件中窃取敏感信息的方法。有的情况下，使用IIFE、限制模式和在函数/块范围声明变量都不一定能保证你的安全。因此，我建议大家可以从服务器端动态获取敏感数据，而不是直接在JavaScript文件中存储敏感数据。这样不仅更加安全，而且还易于维护，何乐而不为?

【编辑推荐】

1. 青岛港部署亚信安全深度威胁发现平台，确保国家关键信息基础设施安全可靠
2. 浅谈PHP安全规范
3. 为什么软件定义边界比VPN更适用于安全远程访问
4. 网络安全人人有责 董事们也不例外
5. 2018第二季度六大网络安全设备厂商

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!