Angular框架安全问题

时间:2018-09-21 05:03:56

标签: angular

假设您的网站的某个部分不应该让用户访问,则没有什么可以阻止一些用户简单地下载您拥有的所有JS和HTML文件,并找出哪个指向被阻止的页面。因此,用户几乎可以在没有数据的情况下查看被阻止页面的视图(因为数据来自服务器,因此未经授权就不应查看)。

能否仅通过使用authguard来解决此问题?从亩了解事件开始,尽管我们使用身份验证保护。请帮忙。

1 个答案:

答案 0 :(得分:0)

将视图作为数据(视图模型)而不是静态HTML。然后像对数据控制器一样将auth Guard放在视图模型控制器上。

这将增加复杂性并可能影响性能,但这就是我们构建企业软件的方式。

或使用经典方法:文件授权,例如IIS的活动目录和Windows身份验证,或.htaccess或Apache的任何东西,但这有很多麻烦,并且不容易扩展。

还问自己:我想解决什么问题?我要保护的是什么(如果不仅仅是数据)?也许Angular并不是完成这项工作的正确工具。总是有服务器端渲染,例如JSP,ASP.NET,PHP ...