我们希望在一个非常简单的访问代码验证步骤背后有一个应用程序。因此,如果用户访问该站点,则必须首先提供访问代码。如果代码正确,她将显示应用程序,否则会显示错误消息。访问代码页是一个路由(ng-route),应用程序有另一个。
现在我的问题:
我认为当访问代码正确时,服务器会为客户端生成一个cookie,然后angular可以切换路由。 但是,为攻击者添加cookie是不是很容易 - 然后她可以访问?另外,如果我在$ rootScope或其他地方设置变量说“access_granted”,恶意攻击者可以只交换整个javascript(或编辑它),只需手动添加该变量,不是吗?
换句话说,我怎么能在角度安全地做到这一点?或者我应该避免在这种情况下使用angular-route并且只有服务器在访问代码正确时创建视图?