我有疑问,我在其他任何地方都找不到答案。
客户可以更改我脚本中的函数参数,变量和...的值吗?
例如我有一个调用JS函数的按钮,该函数从数据库中删除具有指定Id的产品:
<button onclick="deleteProduct(productId: 123);">Delete Product</button>
当客户访问我的网站时,他们可以打开检查元素&#39;他们的浏览器工具并手动更改我的JS函数(deleteProduct)的product id参数的值。然后他们可以通过更改productId删除任何产品。
这可能吗?如果是,我们如何防止它?
答案 0 :(得分:7)
是。用户可以完全控制浏览器中发生的所有事情。
如果要阻止人们从数据库中删除任意内容,请将数据库存储在服务器上,并对任何删除查询请求应用一定级别的身份验证和授权。