如果您使用JS渲染页面并需要实现安全功能,则可归结为以下内容:
var userID = getUserID();
if (userID == 1) {
html += renderDeleteButton();
}
但用户是否只能打开调试器并更改userID的值?
答案 0 :(得分:8)
是的,他们会的。使用JS,用户可以做任何他们想要的事情。这就是安全内容应该放在服务器端代码(PHP / ASP /等)中的原因,因为用户无法对其进行修改。
答案 1 :(得分:2)
不要相信像JS这样的客户端脚本。用户可以操纵所有客户端脚本。任何安全类型的代码都应该驻留在服务器端脚本中。
答案 2 :(得分:1)
javascript中的验证/安全检查始终只是为了节省用户访问服务器和返回的时间。它们仅用于表现。
如果您想要实际的安全性,则必须在服务器上实现。