Javascript网络编程(加密/签名/字节流/gzip)

释放双眼,带上耳机,听听看~!

Javascript网络编程常用的两种方式

短连接xmlhttprequest

长连接websocket

都需要考虑安全性

以下总结两个项目中所使用的相关技术

 

传输类型

xmlhttprequest

xmlhttprequest.responseType

"text"(默认)

"json"(对象)

"arraybuffer"(二进制字节流)

服务端选择UTF-8编码返回JSON字符串

因此在不加密的情况下

可以设置responseType = "json"直接解析得到对象

 

websocket

websocket可以接收文本、ArrayBuffer、Blob类型的对象

取决于服务端推送的真实数据类型


1
2
3
4
5
6
1wss.onmessage = function(msg) {
2    if(msg.data instanceof ArrayBuffer) // ...
3    if(msg.data instanceof Blob)        // ...
4    if(typeof msg.data == 'string')     // ...
5}
6

 

websocket可以在向服务端传输数据时选择文本或字节流

文本十分简单就不提了

字节流传输可以自行编辑头部结构等等

注意若传输中文,需要先做encodeURI


1
2
3
4
5
6
1var uintArray = new Uint8Array(content.length);
2for (var i = 0; i < content.length; i++) {
3    uintArray[i] = content.charCodeAt(i);
4}
5this._ws.send(uintArray.buffer);
6

 

加密解密

服务端客户端共用RC4算法对接口的返回结果做加密、解密

RC4算法加密、解密共用一套代码,首次执行加密,再次执行解密(异或)

服务端用密钥操作明文得到密文

客户端用密钥操作密文得到明文

需要注意的是,网上可以找到多种RC4算法的实现

包括各种语言的版本,实现细节往往不同

而服务端客户端往往使用不同语言

务必保证两端的RC4算法实现完全一致(可能需要自己手写)

随便抄两个版本的话往往对不上(比如网上搜到的PHP版本与JS版本就对不上)

PHP实现如下


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
1/**
2 * 相对应的 PHP 版本 RC4
3 * rc4加密
4 * @param string $data      数据
5 * @param string $password  密码
6 * @param bool   $outBase64 是否返回base64
7 * @return string
8 */
9public function rc4Encrypt($data, $password, $outBase64 = FALSE) {
10    $cipher     = '';
11    $key[]      = '';
12    $box[]      = '';
13    $lengthData = strlen($data);
14    $lengthPass = strlen($password);
15    for ($i = 0; $i < 256; $i++) {
16        $key[$i] = ord($password[$i % $lengthPass]);
17        $box[$i] = $i;
18    }
19    for ($j = $i = 0; $i < 256; $i++) {
20        $j       = ($j + $box[$i] + $key[$i]) % 256;
21        $tmp     = $box[$i];
22        $box[$i] = $box[$j];
23        $box[$j] = $tmp;
24    }
25    for ($a = $j = $i = 0; $i < $lengthData; $i++) {
26        $a       = ($a + 1) % 256;
27        $j       = ($j + $box[$a]) % 256;
28        $tmp     = $box[$a];
29        $box[$a] = $box[$j];
30        $box[$j] = $tmp;
31        $k       = $box[(($box[$a] + $box[$j]) % 256)];
32        $cipher  .= chr(ord($data[$i]) ^ $k);
33    }
34    return $outBase64 ? base64_encode($cipher) : $cipher;
35}
36

 

编码问题

RC4编码往往会产生乱码

异或操作二进制文本的结果是随机的字节流

JS中默认使用UTF-16编码

而我们的服务端使用UTF-8编码

xmlhttprequest.responseType == 'text' 时

收到的密文貌似是被截断的(字节流自动转为文本时,由于编码不一致而截断)

因此需要已字节流的方式接收密文

xmlhttprequest.responseType = 'arraybuffer'


1
2
3
4
5
6
7
8
9
10
11
12
13
14
1// 注意:不是xhr.responseText
2arrayBuffer = xhr.response
3// 对应UTF-8的字节流数组
4byteArray = new Uint8Array(arrayBuffer)
5// 拼装密文
6encodedString = String.fromCharCode.apply(null, byteArray)
7// RC4解码得到明文(会有中文字符乱码问题)
8decodedString = rc4Encrypt(encodedString , 'secret')
9// 处理中文乱码
10escapedString = escape(decodedString)
11finalString = decodeURIComponent(escapedString)
12// 解析得到JSON对象
13json = JSON.parse(finalString)
14

如果一定要用文本的方式传输数据的话

可能需要服务端在加密后做一遍encodeURI避免乱码

客户端收到密文后先做一遍decodeURI

 

签名校验

服务端客户端共用一个密钥做md5签名运算

客户端发起请求时在header中加入参数的md5签名

服务端时候请求时,对参数做签名并与header中传入的签名做比较

以此排除非法请求

Javascript中设置header需要处理一些跨域问题


1
2
3
4
5
6
7
8
9
1// 在header中添加签名
2xhr.open("GET", url, true);
3xhr.setRequestHeader("CONTENT-TYPE", "application/x-www-form-urlencoded");
4xhr.setRequestHeader('sign',strSign);
5xhr.send();
6// 跨域问题服务端
7// Access-Control-Allow-Headers: *
8// Access-Control-Allow-Origin: *
9

 

JS版本的MD5算法如下


1
2
3
4
5
1!function(n){"use strict";function t(n,t){var r=(65535&n)+(65535&t);return(n>>16)+(t>>16)+(r>>16)<<16|65535&r}function r(n,t){return n<<t|n>>>32-t}function e(n,e,o,u,c,f){return t(r(t(t(e,n),t(u,f)),c),o)}function o(n,t,r,o,u,c,f){return e(t&r|~t&o,n,t,u,c,f)}function u(n,t,r,o,u,c,f){return e(t&o|r&~o,n,t,u,c,f)}function c(n,t,r,o,u,c,f){return e(t^r^o,n,t,u,c,f)}function f(n,t,r,o,u,c,f){return e(r^(t|~o),n,t,u,c,f)}function i(n,r){n[r>>5]|=128<<r%32,n[14+(r+64>>>9<<4)]=r;var e,i,a,d,h,l=1732584193,g=-271733879,v=-1732584194,m=271733878;for(e=0;e<n.length;e+=16)i=l,a=g,d=v,h=m,g=f(g=f(g=f(g=f(g=c(g=c(g=c(g=c(g=u(g=u(g=u(g=u(g=o(g=o(g=o(g=o(g,v=o(v,m=o(m,l=o(l,g,v,m,n[e],7,-680876936),g,v,n[e+1],12,-389564586),l,g,n[e+2],17,606105819),m,l,n[e+3],22,-1044525330),v=o(v,m=o(m,l=o(l,g,v,m,n[e+4],7,-176418897),g,v,n[e+5],12,1200080426),l,g,n[e+6],17,-1473231341),m,l,n[e+7],22,-45705983),v=o(v,m=o(m,l=o(l,g,v,m,n[e+8],7,1770035416),g,v,n[e+9],12,-1958414417),l,g,n[e+10],17,-42063),m,l,n[e+11],22,-1990404162),v=o(v,m=o(m,l=o(l,g,v,m,n[e+12],7,1804603682),g,v,n[e+13],12,-40341101),l,g,n[e+14],17,-1502002290),m,l,n[e+15],22,1236535329),v=u(v,m=u(m,l=u(l,g,v,m,n[e+1],5,-165796510),g,v,n[e+6],9,-1069501632),l,g,n[e+11],14,643717713),m,l,n[e],20,-373897302),v=u(v,m=u(m,l=u(l,g,v,m,n[e+5],5,-701558691),g,v,n[e+10],9,38016083),l,g,n[e+15],14,-660478335),m,l,n[e+4],20,-405537848),v=u(v,m=u(m,l=u(l,g,v,m,n[e+9],5,568446438),g,v,n[e+14],9,-1019803690),l,g,n[e+3],14,-187363961),m,l,n[e+8],20,1163531501),v=u(v,m=u(m,l=u(l,g,v,m,n[e+13],5,-1444681467),g,v,n[e+2],9,-51403784),l,g,n[e+7],14,1735328473),m,l,n[e+12],20,-1926607734),v=c(v,m=c(m,l=c(l,g,v,m,n[e+5],4,-378558),g,v,n[e+8],11,-2022574463),l,g,n[e+11],16,1839030562),m,l,n[e+14],23,-35309556),v=c(v,m=c(m,l=c(l,g,v,m,n[e+1],4,-1530992060),g,v,n[e+4],11,1272893353),l,g,n[e+7],16,-155497632),m,l,n[e+10],23,-1094730640),v=c(v,m=c(m,l=c(l,g,v,m,n[e+13],4,681279174),g,v,n[e],11,-358537222),l,g,n[e+3],16,-722521979),m,l,n[e+6],23,76029189),v=c(v,m=c(m,l=c(l,g,v,m,n[e+9],4,-640364487),g,v,n[e+12],11,-421815835),l,g,n[e+15],16,530742520),m,l,n[e+2],23,-995338651),v=f(v,m=f(m,l=f(l,g,v,m,n[e],6,-198630844),g,v,n[e+7],10,1126891415),l,g,n[e+14],15,-1416354905),m,l,n[e+5],21,-57434055),v=f(v,m=f(m,l=f(l,g,v,m,n[e+12],6,1700485571),g,v,n[e+3],10,-1894986606),l,g,n[e+10],15,-1051523),m,l,n[e+1],21,-2054922799),v=f(v,m=f(m,l=f(l,g,v,m,n[e+8],6,1873313359),g,v,n[e+15],10,-30611744),l,g,n[e+6],15,-1560198380),m,l,n[e+13],21,1309151649),v=f(v,m=f(m,l=f(l,g,v,m,n[e+4],6,-145523070),g,v,n[e+11],10,-1120210379),l,g,n[e+2],15,718787259),m,l,n[e+9],21,-343485551),l=t(l,i),g=t(g,a),v=t(v,d),m=t(m,h);return[l,g,v,m]}function a(n){var t,r="",e=32*n.length;for(t=0;t<e;t+=8)r+=String.fromCharCode(n[t>>5]>>>t%32&255);return r}function d(n){var t,r=[];for(r[(n.length>>2)-1]=void 0,t=0;t<r.length;t+=1)r[t]=0;var e=8*n.length;for(t=0;t<e;t+=8)r[t>>5]|=(255&n.charCodeAt(t/8))<<t%32;return r}function h(n){return a(i(d(n),8*n.length))}function l(n,t){var r,e,o=d(n),u=[],c=[];for(u[15]=c[15]=void 0,o.length>16&&(o=i(o,8*n.length)),r=0;r<16;r+=1)u[r]=909522486^o[r],c[r]=1549556828^o[r];return e=i(u.concat(d(t)),512+8*t.length),a(i(c.concat(e),640))}function g(n){var t,r,e="";for(r=0;r<n.length;r+=1)t=n.charCodeAt(r),e+="0123456789abcdef".charAt(t>>>4&15)+"0123456789abcdef".charAt(15&t);return e}function v(n){return unescape(encodeURIComponent(n))}function m(n){return h(v(n))}function p(n){return g(m(n))}function s(n,t){return l(v(n),v(t))}function C(n,t){return g(s(n,t))}function A(n,t,r){return t?r?s(t,n):C(t,n):r?m(n):p(n)}"function"==typeof define&&define.amd?define(function(){return A}):"object"==typeof module&&module.exports?module.exports=A:n.md5=A}(this);
2//# sourceMappingURL=md5.min.js.map
3//https://github.com/blueimp/JavaScript-MD5  
4// eg.  md5('abc')
5

 

数据压缩

数据压缩可以一定程度上减小传输压力

加快传输速度

只需要服务端、客户端共同开启压缩和解压即可

常用的有gzip压缩,gzip对于中文也是支持的不会产生乱码


1
2
3
4
5
6
7
8
9
10
11
12
13
1function uintToString(uintArray) {
2    if (SOCKET.bGzip) {
3        var encodedString = String.fromCharCode.apply(null, uintArray),
4        decodedString = pako.inflate(encodedString, {to: "string"});
5        return decodedString;
6    }
7    else{
8        var encodedString = String.fromCharCode.apply(null, uintArray),
9        decodedString = decodeURIComponent(escape(encodedString));
10        return decodedString;
11    }
12}
13

下载地址

https://github.com/nodeca/pako/blob/master/dist/pako.min.js

 

参考文献

https://stackoverflow.com/questions/17191945/conversion-between-utf-8-arraybuffer-and-string 

给TA打赏
共{{data.count}}人
人已打赏
安全技术

c++ list, vector, map, set 区别与用法比较

2022-1-11 12:36:11

病毒疫情

福建省新型冠状病毒肺炎疫情情况

2020-4-26 8:35:00

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索