作者washqwe (阿蹦)
看板Ajax
标题[问题] javascript禁止从网址列输入
时间Thu Dec 3 11:15:25 2015
目前从server request到资料後存在页面上变数,达到判断login的作用,但无法避免使用者直接输入网址导向,没有用server side,可只用javascript去ban吗,或有取得url列的function吗
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 180.217.165.132
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Ajax/M.1449112527.A.C83.html
1F:→ washqwe: 有想用wondow.location但登入後导向过去又会导回 12/03 11:20
2F:推 jokester: 即使能,你敢相信别人电脑上js的结果吗 12/03 11:28
3F:→ Kenqr: 登入只能靠後端处理 12/03 12:33
4F:推 Peruheru: 後端跑不掉,敏感资讯本来就该透过後端处理 12/03 13:30
5F:→ washqwe: 密码存在server上request到页面上变数 12/03 15:39
6F:→ washqwe: 只是不能改後端不是没後端 12/03 15:39
7F:→ tracetw: 使用者把javascript关掉,不就破功了 12/03 18:52
8F:→ washqwe: 顶多不能登入,但有网站没用到js吗 12/03 19:51
9F:推 Peruheru: 网站用js顶多储存一个存取权杖值,实际上密码都放後端 12/03 21:08
10F:→ Peruheru: 不会放在JS上让大家都看的到改的了 12/03 21:09
11F:→ Peruheru: 如果我会JS,我去看原始档或开发者模式就知道密码啦~ 12/03 21:09
12F:→ Peruheru: 简单做登入有两种方式,一种是密码送出後在伺服器端储存 12/03 21:11
13F:→ Peruheru: 登入状态,使用者只要开着浏览器不要闲置太久就会一直是 12/03 21:12
14F:→ Peruheru: 登入状态,而JS没有特别储存什麽资讯在前端 12/03 21:12
15F:→ Peruheru: 另外一种是登入後伺服器发出一个Key,这个Key存在cookie 12/03 21:13
16F:→ Peruheru: 中,是利用使用者资讯做出来的一组文字,每次登入都不一 12/03 21:13
17F:→ Peruheru: 样,每次做任何要求伺服器都用这个Key检查你是不是登入 12/03 21:14
18F:→ Peruheru: 这样的方式即使使用者关闭浏览器或闲置过久也不会登出 12/03 21:15
19F:→ Peruheru: 就像FB那样你登入一次到登出为止会一直是登入状态 12/03 21:15
20F:→ Peruheru: 无论哪个方式,密码只有在你第一次输入时存在网页上 12/03 21:16
21F:→ Peruheru: 登入後就再也不会出现在网页上了 12/03 21:16
22F:→ washqwe: 上面有写到密码是从後端取上来,不存在js上 12/03 21:22
23F:推 Peruheru: 我的意思就是说正统来说密码不要再取出来,进去就消失了 12/03 21:24
24F:→ Peruheru: 只有登入要检查帐号密码,之後都不需要密码 12/03 21:25