(恶意)用户是否可以在运行时编辑我的JavaScript代码,即使该代码已上传到虚拟主机站点中?
例如,如果我在脚本中声明了一个变量,例如:
var myvalue = 2;
我想知道是否可以将其编辑为:
var myvalue = 1;
答案 0 :(得分:5)
简短的回答:是的。
任何人都可以打开浏览器的开发人员工具并更改值,执行任意代码,删除或更改或编辑所需的任何内容。
因此,如果您的应用程序中有关键的地方,无效值可能会导致安全性或数据验证问题,那么,如果该数据(或使用该值得出的数据)已提交给服务器,则必须重新-在接受之前使用服务器端代码(当然不能更改)进行验证。
P.S。请记住,对代码或变量值的任何编辑将仅持续到下一次重新加载页面时。刷新页面后,将再次从服务器下载JavaScript和HTML文件,并将所有代码和变量值重置为其初始状态。假设您的服务器中没有其他安全漏洞,那么恶意用户无法编辑存储在其中的原始源代码文件。他们只能更改加载到浏览器中的副本。