这与 this security question regarding what it is that secures credentials inside a single page webapp 有关.
假设我们正在使用一个不属于我们的应用程序并且使用 JWT token 来保证安全。我们是否能够通过浏览器开发人员工具或应用程序用于状态的变量的其他方式记录内容。具体来说,有人可以记录或查看用户在身份验证后获得的 JWT token 的内容吗?
最佳答案
是的,这是完全可能的。任何用户都可以打开开发人员控制台并设置断点,以查看特定时间实例运行时变量的值。这就是开发人员调试其应用程序的方式。
前端 JS 代码在浏览器上运行,由于需要解释,因此需要在浏览器上下载源代码,然后使用 JS 引擎(chrome 的 V8、Safari 的 webkit、MS Edge 的 Chakra 等)运行.)
为了保护您的应用程序,只要涉及到安全性,您就需要在服务器端代码中放置尽可能多的业务逻辑。关于JWT,我建议你看看this SO question .
关于javascript - 是否可以在不是我们自己的 Web 应用程序中查看基于浏览器的 javascript 变量的值?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49726180/