我有这个代码:
<input type="button" value="Delete Group" class="followbt" name="delete" onclick="deleteGroupDialog(' . $group_row['ngroup'] . ');">
“ngroup”字段是我要删除的组号,我将它传递给一个打开 jquery 对话框窗口的 javascript 函数,以询问用户是否确定正在做什么,问题是任何人都可以在浏览器上编辑该号码并删除任何组(属于他)。
我已经对此进行了搜索,但我没有找到任何东西,有没有办法更安全地传递参数?
PS:当我显示对话框窗口时,我不想重新加载页面并发出服务器请求。
最佳答案
您的客户端代码不应该永远是允许用户做什么的最终决定;那是服务器的工作。客户端把关纯粹是为了用户体验,引导用户做他们被允许做的事情,并引导他们远离他们不允许做的事情。
是的,客户端确实可以进去编辑东西,甚至可以定制 HTTP 消息发送到您的服务器。这就是为什么您的服务器需要成为看门人的原因。这样,您就不会关心用户是否手动编辑组号:如果他们被允许删除组,他们就可以删除它(通过 UI 或恶意手段);如果他们不是,他们就不能,无论他们尝试多少客户端欺骗。
关于javascript - 将数据敏感数据发送到 javascript,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29865893/