在Firebug等浏览器开发人员工具中显示服务调用是一种安全威胁吗?
注意 - 这不是该问题的重复。关注点不同。我不想禁用那个firebug让它打开让用户使用firebug提供的所有功能,我只想让firebug不显示服务电话。
我可能错了,但我想询问firebug等浏览器开发人员工具何时显示服务调用及其请求响应是否不是安全威胁?如果没有,为什么呢?
如果是,在构建部署在firebug或开发人员工具中之后,我们是否可以隐藏服务调用的显示?
你可以在Mozilla firefox中看到firebug显示的get请求。
我已经搜索了这个但没有得到任何结果,我也无法在stackoverflow上找到与此问题相关的任何帖子。如果有任何人有任何信息,请分享。
2 个答案:
答案 0 :(得分:4)
不,这不是任何设计合理的网站/服务的安全问题。浏览器和浏览器执行的请求都应被视为由用户控制。 (实际上,从安全角度来看,浏览器应该被视为用户的扩展,而不是与用户分离的东西。)因此,用户查看受用户控制的内容根本不存在风险。
如果您的网站发送的数据不允许用户在HTTP(S)请求中看到,您做错了。如果敏感那么数据应该永远不会离开服务器 - 将需要它的逻辑移出客户端(例如,Javascript)并返回到服务器端。
答案 1 :(得分:1)
如果您的网络应用程序遵循security through obscurity,那么这将是有害的。
但只要您使用CSRF等常见漏洞使您的Web应用程序安全,XSS就会照顾,然后任何看到请求/响应的人都无关紧要。
相关问题
- 是否有任何开发人员工具,如FireBug for IE?
- 如何在页面中阻止开发人员工具(如Firebug)?
- Javascript断点无法在Chrome开发者工具中使用
- 开发人员工具能否设置httponly cookies =安全问题?
- 如何在Chrome开发者工具中过滤和显示仅应用的CSS(如Firefox中的Firebug)
- 编写可能会在浏览器中禁用开发人员工具的代码是非法的吗?
- 在Firebug等浏览器开发人员工具中显示服务调用是一种安全威胁吗?
- 通过浏览器开发者工具可通过HTTPS发送的密码
- 通过浏览器开发人员工具监控websocket数据
- Firefox Developer Tools JS编辑器(如firebug)?
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?