这是一个创建于 1586 天前的主题,其中的信息可能已经有所发展或是发生改变。
我用的这个模板引擎,是写在 js 的,比如判断对象里的 state 是 0 的话渲染 可以正常下单,判断 state 是 1 的话 渲染 不可以下单
那么会不会有人通过开发者工具去判断然后把 state 改为 1,然后提交数据呢?
还有就是用模板引擎去做,登录,如果 login=0 未登录 如果 login =1 登录,然后右上角的注册和登录会变为 头像和我的
这样搞会不会有什么敏感信息泄露呢?
新人问题,请多包涵,谢谢
那么会不会有人通过开发者工具去判断然后把 state 改为 1,然后提交数据呢?
还有就是用模板引擎去做,登录,如果 login=0 未登录 如果 login =1 登录,然后右上角的注册和登录会变为 头像和我的
这样搞会不会有什么敏感信息泄露呢?
新人问题,请多包涵,谢谢
 |
1
billwsy 2019-12-15 23:45:36 +08:00 via iPhone
要不拿开发者工具试一试?
|
 |
2
codehz 2019-12-15 23:48:15 +08:00
说的好像传统方案就不能 hack 了一样
只要你服务端不验证,前端怎么保密都没啥效果。 前端渲染用的是 API,你 API 做好鉴权,哪里来的问题。 要说问题吧,那也是 SEO 的事情,不过既然都要登陆了,说明肯定不是给搜索引擎爬虫看的内容(当然对于其他类型的爬虫,提供 API 会更方便获取数据就是了,这就是为啥要做好接口校验) |
 |
3
murmur 2019-12-15 23:50:07 +08:00
那是后端要考虑的事情,什么东西都无脑 bean 序列化带出 password、idcard 这些东西也不稀奇
|
 |
4
weixiangzhe 2019-12-16 00:09:46 +08:00 via Android
别想啦 直接调你接口就好 那需要过前端
|
 |
5
opengps 2019-12-16 00:27:16 +08:00 via Android
你这个缺陷必然不安全,有种说法是,前端所有数据都不可信,说的就是可随意构造
|
 |
6
gebishushu OP @codehz
@murmur @weixiangzhe @opengps 感谢各位回复 我这个 API,没做鉴权 用的是 session,当用户第一次登录,插个 session,然后后面的就可以正常操作了 没搞 token 那个 |
|
7
opengps 2019-12-16 08:03:16 +08:00 via Android
模拟提交不可怕,可怕的是构造的数据会出现正常业务之外的结果。比如张三没拿到李四的登录密码,但是却能给李四修改了业务数据。现在的很多系统,几乎全都是拿到密码就能操纵大部分业务的状态,从系统角度讲,安全超过密码丢失范围就已经算是安全了
|
 |
8
shintendo 2019-12-16 09:34:35 +08:00
前端是客户端,客户端就是在用户完全掌控之下的,所以不要想着在前端阻止用户做什么
|
|
9
gebishushu OP |
Select Language