通过浏览器编辑Js和Html文件 - 客户端

Question

我试图了解每个人可以通过浏览器编辑哪些文件，以了解在客户端运行某些代码的风险。
例如，我在一个站点（在Chrome中）看到：

灰色文件是只读文件，黄色文件可以编辑 我的问题是：

1.黄色和灰色之间的区别是什么？为什么灰色是只读的？
2.是否仍然可以通过其他方式编辑灰色的？也许不是通过浏览器？什么是在客户端编辑文件的选项？ 3.哪些文件可以编辑，哪些不可以？（js，css，html，aspx ......所有选项都是什么）
4.有没有办法知道是否有人更改了html或js文件并查看他所做的更改？保存更改的日志或类似的东西？

Answer 1

假设我们讨论的是标准Web使用而非安全漏洞，用户可以编辑和更改发送给他们的任何内容，用户可以将他们喜欢的任何内容发送回您的服务器。您的服务器上运行的任何代码都无法由您的用户进行编辑，并且用户浏览器中运行的任何代码都很容易被您的用户编辑。当用户使用您发送的数据混乱时，无法记录。您的用户也无法更改服务器上的文件（除非我们正在谈论安全漏洞），因为他们所做的任何编辑都只适用于他们的本地副本。

实际上，这意味着您不能信任在客户端运行的任何代码（js，html，css）的结果，因此您应该将所有安全敏感逻辑保留在服务器端代码（aspx等）中。）

以下是关于为什么客户端验证对于安全的Web应用程序来说不够的相关问题： Why is client-side validation not enough?