如何在JavaScript中加密字符串并在C#中解密该字符串
我之前看到过这个问题,但在这些情况下,海报想要在面向公众的网站上加密某些内容(通常是url),而且回复主要是“不要!”。 但是,在我的情况下,JavaScript将存储在非公共内部系统中,所以我认为我有更多的余地。 类似问题的一个例子是: 如何在javascript中加密url并在c#中解密 – 并且答案实际上没有回答问题。
我的“JavaScript”实际上是“SuiteScript”,其定义为“SuiteScript是一种基于JavaScript的API,可让开发人员扩展NetSuite”,其中NetSuite是托管的CRM软件包,因此用于加密我的字符串的任何编码都将是隐藏给每个人,除了我公司的员工(因此被认为安全隐藏)。
我想做的是:
- 生成一个查询字符串(例如userid = guidValue&firstName = stringValue&company = stringValue&…),
- 使用安全方法加密(例如AES256,RSA,无论有人认为这是安全的),
- 在我的基于C#的网站上调用网页,在URL中传递此字符串(例如mysite.com/mypage.aspx?encStr=encryptedString)
- 让C#页面解密它,分离名称/值对并处理它们。
我已经google搜索stackoverflow,但没有找到任何文章或答案提供可以由两种技术使用的加密方法的明确说明。 有人有这样的指示吗?
对称
最简单的方法是使用库作为实现标准的Stanford Javascript加密库 (在本例中为AES)并在C#中使用相同的密码(通过AesManaged或AesCryptoServiceProvider )。
您将获得一个对称密码,但几乎不会有一个参数(密钥)设置为两个库工作。
不对称
您也可以使用非对称(公钥)密码。 获取javascript代码的攻击者可以将精心设计的请求发送到您的服务器,但无法拦截其他请求。
在javascript中有一个RSA实现, RSACryptoServiceProvider类在.Net中提供支持
Code项目中提供了一个完整的示例,包括javascript lib中RSA的路径以支持填充(在使用.Net实现时是必需的)
注意
这两种解决方案本身都很容易被重放(攻击者拦截一个字符串并稍后将其发送回服务器 – 可能多次 –