按用户更改JS代码是一件坏事吗?

时间:2018-10-05 21:10:28

标签: javascript client-side developer-tools

我正在建立一个基于Drupal 8.6作为API和Vue.js作为SPA的最新门户。我现在正在做有关OAuth身份验证安全性等研究的基调,但是我不能停止考虑使用Developer Tools来更改用户代码。

我不担心数据泄漏,因为这也应该在受保护的情况下进行保护,但是如果用户将isLogin()更改为true并查看已记录的用户HTML模板,该怎么办。

我应该采取一些步骤,这是一个真正的问题,还是仅在我脑海中这个问题很大,这是可行的方式?

谢谢!

1 个答案:

答案 0 :(得分:1)

只需遵循Web安全性的主要原则:永远不要信任客户端。仅当私有数据提供一种向服务器进行身份验证的方式时,才应将其发送给客户端。这样,即使客户端代码被更改,服务器也不会发送私有数据,因此不会暴露任何数据。