作者washqwe (阿蹦)
看板Ajax
標題[問題] javascript禁止從網址列輸入
時間Thu Dec 3 11:15:25 2015
目前從server request到資料後存在頁面上變數,達到判斷login的作用,但無法避免使用者直接輸入網址導向,沒有用server side,可只用javascript去ban嗎,或有取得url列的function嗎
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.217.165.132
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Ajax/M.1449112527.A.C83.html
1F:→ washqwe: 有想用wondow.location但登入後導向過去又會導回 12/03 11:20
2F:推 jokester: 即使能,你敢相信別人電腦上js的結果嗎 12/03 11:28
3F:→ Kenqr: 登入只能靠後端處理 12/03 12:33
4F:推 Peruheru: 後端跑不掉,敏感資訊本來就該透過後端處理 12/03 13:30
5F:→ washqwe: 密碼存在server上request到頁面上變數 12/03 15:39
6F:→ washqwe: 只是不能改後端不是沒後端 12/03 15:39
7F:→ tracetw: 使用者把javascript關掉,不就破功了 12/03 18:52
8F:→ washqwe: 頂多不能登入,但有網站沒用到js嗎 12/03 19:51
9F:推 Peruheru: 網站用js頂多儲存一個存取權杖值,實際上密碼都放後端 12/03 21:08
10F:→ Peruheru: 不會放在JS上讓大家都看的到改的了 12/03 21:09
11F:→ Peruheru: 如果我會JS,我去看原始檔或開發者模式就知道密碼啦~ 12/03 21:09
12F:→ Peruheru: 簡單做登入有兩種方式,一種是密碼送出後在伺服器端儲存 12/03 21:11
13F:→ Peruheru: 登入狀態,使用者只要開著瀏覽器不要閒置太久就會一直是 12/03 21:12
14F:→ Peruheru: 登入狀態,而JS沒有特別儲存什麼資訊在前端 12/03 21:12
15F:→ Peruheru: 另外一種是登入後伺服器發出一個Key,這個Key存在cookie 12/03 21:13
16F:→ Peruheru: 中,是利用使用者資訊做出來的一組文字,每次登入都不一 12/03 21:13
17F:→ Peruheru: 樣,每次做任何要求伺服器都用這個Key檢查你是不是登入 12/03 21:14
18F:→ Peruheru: 這樣的方式即使使用者關閉瀏覽器或閒置過久也不會登出 12/03 21:15
19F:→ Peruheru: 就像FB那樣你登入一次到登出為止會一直是登入狀態 12/03 21:15
20F:→ Peruheru: 無論哪個方式,密碼只有在你第一次輸入時存在網頁上 12/03 21:16
21F:→ Peruheru: 登入後就再也不會出現在網頁上了 12/03 21:16
22F:→ washqwe: 上面有寫到密碼是從後端取上來,不存在js上 12/03 21:22
23F:推 Peruheru: 我的意思就是說正統來說密碼不要再取出來,進去就消失了 12/03 21:24
24F:→ Peruheru: 只有登入要檢查帳號密碼,之後都不需要密碼 12/03 21:25