默认情况下,根据访问权限禁用附加图像按钮,但是如果我删除突出显示的属性,则会启用此功能。用户可以执行操作。
请提供限制它的解决方案。
Please see image attached related to issue with chrome Developer tool
答案 0 :(得分:0)
好吧,因为浏览器中的所有html代码都无法阻止它被操纵,所以永远不要相信客户端并检查后端对此操作的访问。
请记住,即使按钮被禁用,开发人员也可以重建此表单的请求并在不使用任何用户界面的情况下发送。
答案 1 :(得分:0)
您无法阻止用户这样做。它的浏览器,完全在他们的控制之下。任何用户都可以以他们选择的任何方式操作页面,并运行他们从控制台中选择的任何脚本等。如果他们有知识和倾向,他们可以随心所欲。如果他们想要更改页面以尝试恶意或不正确地提交他们的数据,他们可以。
您可以(并且必须)实施的缓解措施是检查并清理进入服务器端API的所有数据,以防止来自客户端的恶意或其他不当内容。
请记住,您的API只接受HTTP请求,没有什么可说客户甚至需要使用您的Web应用程序发出请求,他们可以使用PostMan或任何其他HTTP客户端等工具来攻击它。他们可以完全绕过浏览器。因此,您必须首先在服务器上应用所有权限,数据检查等以确保安全性。如果您将其应用于基于浏览器的Web应用程序,这很不错,但您必须将其视为可用性功能 - 它永远不会提供任何真正的安全性。
答案 2 :(得分:0)
在这种情况下,您可以采用另一种方式。禁用该按钮时必须取消绑定该事件,并在启用该按钮时再次绑定该事件。它会解决你的问题。
在服务器端更好地消毒它。
