我一直在寻找更好的方法来保护我的网站。许多论坛和问答网站都说 jquery 变量和 HTML 属性可能会被最终用户更改。他们如何做到这一点?如果他们可以更改网站上的数据和元素,他们是否也可以插入脚本?
例如,我有 2 个用于主页的 jquery 脚本。第一个是“仅限成员(member)”脚本,第二个是“仅限访客”脚本。最终用户能否登录我的站点,复制“仅限成员(member)”脚本,注销并注入(inject)脚本,以便它以访客身份运行?
最佳答案
是的,可以安全地假设客户端没有任何东西是安全的。使用 Firebug for Firefox 或 Developer Tools for Chrome 等工具,最终用户能够操作(添加、更改、删除):
- 您的 HTML
- 你的 CSS
- 你的 JS
- 您的 HTTP header (发送到您的服务器的数据包)
- cookies
直接回答您的问题:如果您仅依靠 JavaScript(很可能是 cookie)来跟踪用户 session 状态并向成员(member)和 guest 提供不同的内容,那么我可以绝对肯定地说其他人会 规避您的安全,这样做微不足道。
设计安全的应用程序并不容易,是一场持久战,需要数年时间才能完全掌握。黑客应用程序非常简单,适合全家人一起玩,在 YouTube 上 20 分钟即可学会。
话虽如此,希望您在 JS 中包含的内容不是“关键任务”或“敏感数据”。如果是这样,我会认真权衡聘请精通安全性的第三方开发人员来帮助您的成本。因为,正如我之前所说,创建一个真正安全的站点并非易事。
关于javascript - 最终用户(黑客)如何更改 Jquery 和 HTML 值?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7061869/