我知道这是一个基本问题,可能太简单了但是..
我隐藏了根据用户数据执行关键操作的关键按钮。
如果我读取用户的数据并意识到他不应该有某个按钮(比如他没有支付),那么我将它隐藏在 css 上 :
.hidden{
display:none;
}
这个类被添加到 html
上。 (这对安全性有影响吗?)
黑客有没有办法捕获这个按钮并“点击”它?
我是否需要添加另一层安全onClick
?
最佳答案
display: none;
将使该元素在浏览器中不可见。但是,它仍然存在于 DOM 中,如果用户访问网站,按钮的 HTML 代码和 onClick
代码将存在于 DOM 中。
此 CSS 属性不适合实现安全功能,它只适合实现用户可能希望看到的可见性更改。
业务逻辑的安全部分必须在后端代码中实现。这样黑客就无法调用 onclicks 并进行任何不需要的 API 调用。
关于javascript - 是显示:none safe?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57533659/