我对安全了解不多,但我正在尝试找出如何尽可能保证我的网站安全。我知道我可以在后端处理的东西越多越好,但是对于我想在客户端上保存一些变量的情况,这些东西是完全不可更改的吗?
例如,如果我为用户 Angular 色设置一个全局变量(这是一个纯 AJAX Web 应用程序,因此全局变量始终可用),是否有任何软件可以在浏览器中编辑 javascript,以便用户可以改变他们的 Angular 色?
最佳答案
安全性是 Web 开发领域的一个重要主题,确定 Web 应用程序的安全性对于您来说非常重要。
有3个部分需要注意
- 前端(网站)
everything here is insecure, whatever shown on you in the browser could be changed or modified. Just go to the debug console and you could change the variable and rerender the html page again
web communication is based on the http(s) protocol that allows you to communicate between your server and client. Using
httpswill prevent you from man in the middle attack
always make sure to authenticate and check the data sent from your client (POST, PUT, DELETE)
预防
好处是,即使您更改客户端的变量,它也只会出现在该客户端 session 上,不会影响任何其他 session 。有几种方法可以提高前端的安全性
- 混淆
this means make your source code harder to read. You could try to use tool like minification, and concatatenata your source code.
Never ever store user sensitive data (password, user info) in the client side, since people could just change and see it
这应该让您了解更多有关安全性的知识
关于javascript - 用户是否可以在浏览器中修改网站 JavaScript?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30905266/