很多时候我在使用jquery ajax
时会做一些奇怪的事情。我的意思是,我保留一个包含 id
的隐藏变量,然后当有人单击 button
时,我运行一个 javascript 函数,该函数传递 ajax 请求以及 id
code> 包含在隐藏字段
中。这是正常的吗?如果有人使用 firebug
或任何此类工具并更改 javascript
函数并传递一些其他 id
该怎么办?它会更新和删除其他可能不属于该用户的记录吗?大家都是怎么处理这个问题的?
最佳答案
您需要保护此服务器端的安全,您无法也不应该在客户端保护它。
JavaScript 是可视的、可执行的、动态的、开放的......它是你在做事情时想要的一切......好吧,用它做任何你想要的,这对安全性来说是一件非常糟糕的事情。您需要在处理请求时根据用户在服务器上应有权访问的内容来检查传递的 ID。
任何事情,我的意思是你在客户端所做的任何事情都是一种威慑,而不是解决方案,并且确实没有有效的 JavaScript我见过的威慑力。即使您可以保护它,我也可以打开 Firebug、Fiddler、Wireshark、Chrome 控制台或其他十几种工具之一来查看请求最终发送的内容。
关于jquery - 任何人都可以破解我的 jquery ajax 请求吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3265535/