每个人都可以访问您的javascript文件通常是否安全?我知道你应该在服务器端有重要的算法并通过javascript用AJAX调用它们,但即使这样,其他人也可以找出你正在调用的AJAX,以及你发送的是什么信息,然后他们就可以修改您的内容强制您的网站结束一些信息
例如,假设一个AJAX调用获取输入文件<input type="hidden" id="example" value="very important information" />
的内容并将其发送出去。现在访问者知道这是ajax正在使用的内容,因此他们可以在启动ajax调用之前编辑内容(例如通过Firebug)。
有没有办法/良好做法来解决这类问题?
答案 0 :(得分:2)
是的,用户阅读您的Javascript代码应该是安全的。
AJAX调用的内容不会对用户隐藏。如果您的应用程序可以被执行AJAX调用的用户利用,那么它是不安全的!您的应用程序应在每次调用时在服务器端执行所有适当的访问检查,就像它对基于URL的请求执行类似检查一样。
答案 1 :(得分:1)
是的,如果您正在谈论任何公共网站或应用程序它不应该是良好的做法,但在应用程序中它应该没有问题,因为我们可以使用强大的算法进行身份验证,我们将只有经过身份验证的用户每次登录我们认为黑客不会从隐藏的领域改变价值观 会话是在服务器上保留重要信息并且仅处理来自客户端的其他数据的最佳方式之一。
答案 2 :(得分:0)
实际上不需要编辑内容,您只需在控制台中触发Ajax调用,或发送任何请求。
服务器端脚本的工作是提供安全保护,而不是Javascript。永远不会“修复”。
答案 3 :(得分:0)
一个好主意是永远不要信任用户发送的内容。编码良好的应用程序将对任何无效数据进行保护。如果您使用AJAX或表单的简单帖子无关紧要 - 用户仍然可以找到该浏览器发送给服务器的内容。因此 - 最佳实践 - 使用服务器端逻辑来验证数据并保护自己免受此类情况的影响。