作者mickeyboy (mic)
看板Ajax
标题[问题] ajax权限的画面问题
时间Thu May 2 20:41:43 2019
请教前辈们
关於ajax去跟後端索取资料来形成画面
有几个问题,想要请教一下
1.例如vue的时候会使用v-if
有可能被人直接在浏览器或者工具窜改js的程式码
来显示v-else的画面吗?
2.更安全的作法是不是使用在後端先将整个HTML所需要的HTML产生好
ajax只需要输出显示就好?就没有v-if v-else的问题
3.像是SPA(Single Page Application) 大量使用js来读取资料显示
但js不是都是看得到的,这样是不是网站相关的API URL都会被看到
目前爬文除了後端防范外,前端部分还有什麽机制可以使用?
有推荐的资料可以参考吗?
谢谢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.234.213.16
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Ajax/M.1556800905.A.2A9.html
1F:→ freeccc: 1. 如果你 v-if 判断的条件可以改就可以做到你说的那样, 05/02 22:40
2F:→ freeccc: 例如使用全域变数来做判断 05/02 22:40
3F:→ freeccc: 2. 不是 05/02 22:41
4F:→ freeccc: 3. 如你所说,前端的程式码都看得到,那你要怎麽防范? 05/02 22:42
5F:→ freeccc: 换我反问你,你现在的顾虑是什麽? 05/02 22:44
6F:→ lightyen: 没权限还拿的到资料是後端的问题吧 05/02 23:30
7F:推 jack82822005: 你可以用cookie来储存使用者资讯,供後端判断权限呀 05/03 00:25
8F:→ jack82822005: ~至於cookie的加密问题,是否又是另一个故事呢? 05/03 00:25
9F:→ jack82822005: 有请版上其他大大XD 05/03 00:25
10F:推 mrbigmouth: 所有权限相关的程式都应该由後端处理 这是基本安全概 05/03 08:46
11F:→ mrbigmouth: 念 前端理应只处理介面问题 使用者权限不足以读取的 05/03 08:46
12F:→ mrbigmouth: 资料从一开始就不应该被後端传送到前端 05/03 08:47
13F:推 idareyou: 1.理论上後端不给你就不应该收到,v-else被解开也是空值 05/03 14:14
14F:→ idareyou: 使用者从进入时(匿名、一般、admin),後端就会给权限 05/03 14:15
15F:→ idareyou: 所以匿名者越权时(增修删改),後端一定得要挡下来 05/03 14:16
16F:推 froce: 有些js函式在没相关权限的时候,根本就不该传给前端 05/03 15:06
17F:推 art1: 苹果日报想要人家登入才能看新闻,可是又可以从前端破解 05/08 03:58
18F:→ art1: 也是没做好权限控管的意思? 05/08 03:58
19F:→ art1: 读者 05/08 03:59
20F:推 froce: 那个是上面搞不懂硬要前端干,又要SEO,又想逼读者用app的 05/08 07:38
21F:→ froce: 结果。不是权限问题。 05/08 07:38
22F:→ froce: 然後最近好像苹果家就在找新前端了。XD 05/08 07:38
23F:→ dododavid006: 苹果那个找新前端有用吗?只要会传到前端一定有办法 05/08 20:10
24F:→ dododavid006: 的不是吗 05/08 20:10
25F:→ freeccc: 可能是原本的受不了跑掉了吧 05/09 13:28
26F:推 googoo1102: 权限 - 前端挡介面 後端挡操作 06/05 21:55
27F:→ googoo1102: cookie可以被改掉, 用session会好一点 06/05 21:56