我试图阻止任何用户查看位于我服务器上的文件“x.txt”的内容。
到目前为止,我已经完成了以下工作:
阻止用户使用.htaccess
我的一个页面使用ajax请求来获取文件的内容并将其存储在变量中。
通过if(x == y)语句将用户输入与文件内容进行比较。
我网站的用户是否可以访问此敏感数据?
答案 0 :(得分:1)
如果ajax调用可以获取数据,那么任何流氓或自定义脚本也可以通过相同的ajax调用获取数据,并且只需要对您的网页进行初步查看,以查看获取数据的ajax调用是什么。或者,只需打开Chrome开发人员工具并查看网络标签的任何人都可以看到浏览器发出的所有ajax调用的内容。
此外,任何知道如何使用浏览器调试器的人都可以观察您的代码所做的任何事情(比如将ajax内容存储到变量中),因此即使通过网络加密也不会阻止有人看到您的数据谁在接收浏览器
如果您希望服务器数据安全,则需要采用不同的设计。
测试用户输入与服务器上某些秘密的安全方法是将客户端数据发送到服务器,让服务器将客户端数据与服务器主数据进行比较,从而永远不会将服务器数据发送到客户端。
将其视为密码。您永远不会将主密码发送到客户端,并让客户端比较用户输入的内容。相反,您将客户端输入的内容发送到服务器并让服务器安全地进行比较。同样的方法将保护您的数据。