1
billwsy 2019-12-15 23:45:36 +08:00 via iPhone
要不拿开发者工具试一试?
|
2
codehz 2019-12-15 23:48:15 +08:00
说的好像传统方案就不能 hack 了一样
只要你服务端不验证,前端怎么保密都没啥效果。 前端渲染用的是 API,你 API 做好鉴权,哪里来的问题。 要说问题吧,那也是 SEO 的事情,不过既然都要登陆了,说明肯定不是给搜索引擎爬虫看的内容(当然对于其他类型的爬虫,提供 API 会更方便获取数据就是了,这就是为啥要做好接口校验) |
3
murmur 2019-12-15 23:50:07 +08:00
那是后端要考虑的事情,什么东西都无脑 bean 序列化带出 password、idcard 这些东西也不稀奇
|
4
weixiangzhe 2019-12-16 00:09:46 +08:00 via Android
别想啦 直接调你接口就好 那需要过前端
|
5
opengps 2019-12-16 00:27:16 +08:00 via Android
你这个缺陷必然不安全,有种说法是,前端所有数据都不可信,说的就是可随意构造
|
6
gebishushu OP @codehz
@murmur @weixiangzhe @opengps 感谢各位回复 我这个 API,没做鉴权 用的是 session,当用户第一次登录,插个 session,然后后面的就可以正常操作了 没搞 token 那个 |
7
opengps 2019-12-16 08:03:16 +08:00 via Android
模拟提交不可怕,可怕的是构造的数据会出现正常业务之外的结果。比如张三没拿到李四的登录密码,但是却能给李四修改了业务数据。现在的很多系统,几乎全都是拿到密码就能操纵大部分业务的状态,从系统角度讲,安全超过密码丢失范围就已经算是安全了
|
8
shintendo 2019-12-16 09:34:35 +08:00
前端是客户端,客户端就是在用户完全掌控之下的,所以不要想着在前端阻止用户做什么
|
9
gebishushu OP |