我正在开发一个电子商务网站,用户可以根据产品选择主要产品和一些额外的配件。还要计算总价格(主要产品+配件)以便向用户显示。
目前我将产品价格,个别配件价格和总价存储在隐藏的html输入标签中,但可以从检查窗口轻松访问。
如何让它更安全?
答案 0 :(得分:2)
存储在页面上或cookie内部的值应仅适用于用户视图,不应用于后端验证,因为用户可能会更改存储在用户计算机上的任何内容。
正如其他人所说,您应该在结账时使用后端软件验证价格。
答案 1 :(得分:2)
嗨,客户端没有一条规则是安全的。因此,一旦您向用户显示某些内容,这将不安全。如果你有一些必须安全的东西(一些客户端ID证书,令牌......)你必须在后端处理这个。
您可以隐藏此信息,但在后端您必须始终验证输入。用户可以做假请求,更改值等。
答案 2 :(得分:2)
您应该存储产品ID 而不是存储产品ID ,而不是在您的后端获取用户选择的特定ID的价格,而不是存储产品价格或任何其他需要完成的计算并保存在数据库中。
答案 3 :(得分:1)
对于保护隐藏,您还可以将encryption and hashing应用于隐藏的输入字段
- 哈希原始值
- 加密原始值
- 将加密值与哈希摘要一起发送
- 收到数据后,解密加密,散列结果并将其与收到的哈希摘要进行比较,以确保价值 保持不变