pr0*_*gma 2 javascript browser ajax jquery web
我希望我的网站的一些内容在登录后动态加载.A $.post(...)与验证用户凭据的servlet交互,然后$.load(url)将内容从单独的页面加载到<div>.我注意到,只要我知道从哪里获取内容,我就可以从chrome javascript控制台强制执行此行为,绕过验证.
如何阻止用户这样做?
你不能.
一旦文档被传送到用户的浏览器,它就完全在用户的控制之下.他们可以运行他们喜欢的任何JS.
您在Web服务器上显示的URL是它的公共接口.任何人都可以要求他们 您可以使用身份验证/授权来限制获得响应的人员,但是您无法以运行您提供的特定JavaScript的用户为条件做出响应.
服务器每次传送受限数据时都需要对用户进行授权.您不能这样做一次,然后信任浏览器来强制执行它.