我注意到现在越来越多的客户端Javascript代码发生了重大转变。 Backbone.js等软件包执行验证,访问控制等。这会导致安全风险,如果是这样,我们应该注意哪些风险?基于Javascript的验证是否存在安全风险?
答案 0 :(得分:4)
基于浏览器的验证方便用户使用。
它与安全性无关,因为它实际上并不验证请求。
您仍然需要验证服务器上的所有内容。
答案 1 :(得分:2)
如果没有在服务器端使用等效或更强的验证进行备份,则存在安全风险。
它可以非常强大,作为一种易于使用的功能,使用户体验更流畅,防止繁琐或刺耳的往返和页面重新加载,但你是完全正确的,你不能依赖它作为安全特征
答案 2 :(得分:2)
Javascript验证本身并不存在风险。是否可以提供额外的数据验证/清理层。如果您的信息被传递到服务器进行处理,那么风险就是在客户端验证时完全依赖。
答案 3 :(得分:0)
Javascript永远不应该是您的安全筛选。 Javascript是客户端,很容易受到攻击。 Javascript验证用于简化用户体验。
最好将服务器端脚本用于安全目的。