我使用以下项目作为应用程序的登录身份验证逻辑的基础:https://github.com/cornflourblue/angular-authentication-example
当后端关闭时,我手动更改了前端以避免验证用户凭据以解决$ http调用问题。
这让我想知道是否可以使用 Chrome DevTools 或 Firefox的开发工具来绕过$ http电话并让应用认为凭据被接受了。
到目前为止,我自己似乎仍然运行原始文件以及存储在其他地方并且未使用的任何更改文件。但我无法在Chrome DevTools中重现黑客攻击,但我不是专家,如果有可能就很好奇。
答案 0 :(得分:1)
是的,可以改变客户端脚本并破解任何javascript代码......
这就是为什么有一个登录过程,其目的应该是为客户端分配有效的会话凭证,以便向服务器提供每个请求,以便相应地验证和采取行动。
基本上,您的应用程序必须确保在建立有效会话之前不会交换敏感信息,从而使任何客户端代码规避过时