作者mickeyboy (mic)
看板Ajax
標題[問題] ajax權限的畫面問題
時間Thu May 2 20:41:43 2019
請教前輩們
關於ajax去跟後端索取資料來形成畫面
有幾個問題,想要請教一下
1.例如vue的時候會使用v-if
有可能被人直接在瀏覽器或者工具竄改js的程式碼
來顯示v-else的畫面嗎?
2.更安全的作法是不是使用在後端先將整個HTML所需要的HTML產生好
ajax只需要輸出顯示就好?就沒有v-if v-else的問題
3.像是SPA(Single Page Application) 大量使用js來讀取資料顯示
但js不是都是看得到的,這樣是不是網站相關的API URL都會被看到
目前爬文除了後端防範外,前端部分還有什麼機制可以使用?
有推薦的資料可以參考嗎?
謝謝
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.234.213.16
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Ajax/M.1556800905.A.2A9.html
1F:→ freeccc: 1. 如果你 v-if 判斷的條件可以改就可以做到你說的那樣, 05/02 22:40
2F:→ freeccc: 例如使用全域變數來做判斷 05/02 22:40
3F:→ freeccc: 2. 不是 05/02 22:41
4F:→ freeccc: 3. 如你所說,前端的程式碼都看得到,那你要怎麼防範? 05/02 22:42
5F:→ freeccc: 換我反問你,你現在的顧慮是什麼? 05/02 22:44
6F:→ lightyen: 沒權限還拿的到資料是後端的問題吧 05/02 23:30
7F:推 jack82822005: 你可以用cookie來儲存使用者資訊,供後端判斷權限呀 05/03 00:25
8F:→ jack82822005: ~至於cookie的加密問題,是否又是另一個故事呢? 05/03 00:25
9F:→ jack82822005: 有請版上其他大大XD 05/03 00:25
10F:推 mrbigmouth: 所有權限相關的程式都應該由後端處理 這是基本安全概 05/03 08:46
11F:→ mrbigmouth: 念 前端理應只處理介面問題 使用者權限不足以讀取的 05/03 08:46
12F:→ mrbigmouth: 資料從一開始就不應該被後端傳送到前端 05/03 08:47
13F:推 idareyou: 1.理論上後端不給你就不應該收到,v-else被解開也是空值 05/03 14:14
14F:→ idareyou: 使用者從進入時(匿名、一般、admin),後端就會給權限 05/03 14:15
15F:→ idareyou: 所以匿名者越權時(增修刪改),後端一定得要擋下來 05/03 14:16
16F:推 froce: 有些js函式在沒相關權限的時候,根本就不該傳給前端 05/03 15:06
17F:推 art1: 蘋果日報想要人家登入才能看新聞,可是又可以從前端破解 05/08 03:58
18F:→ art1: 也是沒做好權限控管的意思? 05/08 03:58
19F:→ art1: 讀者 05/08 03:59
20F:推 froce: 那個是上面搞不懂硬要前端幹,又要SEO,又想逼讀者用app的 05/08 07:38
21F:→ froce: 結果。不是權限問題。 05/08 07:38
22F:→ froce: 然後最近好像蘋果家就在找新前端了。XD 05/08 07:38
23F:→ dododavid006: 蘋果那個找新前端有用嗎?只要會傳到前端一定有辦法 05/08 20:10
24F:→ dododavid006: 的不是嗎 05/08 20:10
25F:→ freeccc: 可能是原本的受不了跑掉了吧 05/09 13:28
26F:推 googoo1102: 權限 - 前端擋介面 後端擋操作 06/05 21:55
27F:→ googoo1102: cookie可以被改掉, 用session會好一點 06/05 21:56