我试图阻止任何用户看到位于我的服务器上的文件“x.txt”的内容。
到目前为止,我已经完成了以下工作:
阻止用户使用 .htaccess 直接访问该文件
我的一个页面使用 ajax 请求来获取文件的内容并将其存储在变量中。
通过 if(x==y) 语句将用户的输入与文件内容进行比较。
我网站的用户是否可以访问这些敏感数据?
最佳答案
如果 ajax 调用可以获取数据,那么任何流氓或自定义脚本也可以通过相同的 ajax 调用获取数据,并且只需简单地查看您的网页即可了解获取数据的 ajax 调用是什么。或者,任何人只要打开 Chrome 开发者工具并查看网络选项卡,就可以看到浏览器发出的所有 ajax 调用的内容。
此外,任何知道如何使用浏览器调试器的人都可以观察您的代码执行的任何操作(例如将 ajax 内容存储到变量中),因此即使通过网络进行加密也不会阻止其他人在接收浏览器上看到您的数据.
如果您希望服务器数据安全,则需要不同的设计。
测试用户输入与服务器上的某些 secret 的安全方法是将客户端数据发送到服务器,并让服务器将客户端数据与服务器主机进行比较,从而永远不会将服务器数据发送到客户端。
将其视为密码。您永远不会将主密码发送给客户端并让客户端比较用户输入的内容。相反,您可以将客户端键入的内容发送到服务器,并让服务器安全地进行比较。同样的方法将保护您的数据。
关于javascript - 用户可以读取这个文件吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27338465/